مقدمه ای بر شبکه خصوصی مجازی (***)
[شبکه خصوصی مجازی یا Virtual Private Network که به اختصار *** نامیده می شود، امکانی است برای انتقال ترافیک خصوصی بر روی شبکه عمومی. معمولا از *** برای اتصال دو شبکه خصوصی از طریق یک شبکه عمومی مانند اینترنت استفاده می شود.منظور از یک شبکه خصوصی شبکه ای است که بطور آزاد در اختیار و دسترس عموم نیست. *** به این دلیل مجازی نامیده می شود که از نظر دو شبکه خصوصی ، ارتباط از طریق یک ارتباط و شبکه خصوصی بین آنها برقرار است اما در واقع شبکه عمومی این کار را انجام می دهد. پیاده سازی *** معمولا اتصال دو یا چند شبکه خصوصی از طریق یک تونل رمزشده انجام می شود. در واقع به این وسیله اطلاعات در حال تبادل بر روی شبکه عمومی از دید سایر کاربران محفوظ می ماند. *** را می توان بسته به شیوه پیاده سازی و اهداف پیاده سازی آن به انواع مختلفی تقسیم کرد.
دسته بندی *** براساس رمزنگاری
*** را می توان با توجه به استفاده یا عدم استفاده از رمزنگاری به دو گروه اصلی تقسیم کرد:
1- ***رمزشده : *** های رمز شده از انواع مکانیزمهای رمزنگاری برای انتقال امن اطلاعات بر روی شبکه عمومی استفاده می کنند. یک نمونه خوب از این *** ها ، شبکه های خصوصی مجازی اجرا شده به کمک IPSec هستند.
2- *** رمزنشده : این نوع از *** برای اتصال دو یا چند شبکه خصوصی با هدف استفاده از منابع شبکه یکدیگر ایجاد می شود. اما امنیت اطلاعات در حال تبادل حائز اهمیت نیست یا این که این امنیت با روش دیگری غیر از رمزنگاری تامین می شود. یکی از این روشها تفکیک مسیریابی است. منظور از تفکیک مسیریابی آن است که تنها اطلاعات در حال تبادل بین دو شبکه خصوصی به هر یک از آنها مسیر دهی می شوند. (MPLS ***) در این مواقع می توان در لایه های بالاتر از رمزنگاری مانند SSL استفاده کرد.
هر دو روش ذکر شده می توانند با توجه به سیاست امنیتی مورد نظر ، امنیت مناسبی را برای مجموعه به ارمغان بیاورند، اما معمولا *** های رمز شده برای ایجاد *** امن به کار می روند. سایر انواع *** مانند MPLS *** بستگی به امنیت و جامعیت عملیات مسیریابی دارند.
دسته بندی *** براساس لایه پیاده سازی
*** بر اساس لایه مدل OSI که در آن پیاده سازی شده اند نیز قابل دسته بندی هستند. این موضوع از اهمیت خاصی برخوردار است. برای مثال در *** های رمز شده ، لایه ای که در آن رمزنگاری انجام می شود در حجم ترافیک رمز شده تاثیر دارد. همچنین سطح شفافیت *** برای کاربران آن نیز با توجه به لایه پیاده سازی مطرح می شود.
1- *** لایه پیوند داده : با استفاده از *** های لایه پیوند داده می توان دو شبکه خصوصی را در لایه 2 مدل OSI با استفاده از پروتکلهایی مانند ATM یا Frame Relay به هم متصل کرد.با وجودی که این مکانیزم راه حل مناسبی به نظر می رسد اما معمولا روش ارزنی نیست چون نیاز به یک مسیر اختصاصی لایه 2 دارد. پروتکلهای Frame Relay و ATM مکانیزمهای رمزنگاری را تامین نمی کنند. آنها فقط به ترافیک اجازه می دهند تا بسته به آن که به کدام اتصال لایه 2 تعلق دارد ، تفکیک شود. بنابراین اگر به امنیت بیشتری نیاز دارید باید مکانیزمهای رمزنگاری مناسبی را به کار بگیرید.
2- *** لایه شبکه : این سری از *** ها با استفاده از tunneling لایه 3 و/یا تکنیکهای رمزنگاری استفاده می کنند. برای مثال می توان به IPSec Tunneling و پروتکل رمزنگاری برای ایجاد *** اشاره کرد.مثالهای دیگر پروتکلهای GRE و L2TP هستند. جالب است اشاره کنیم که L2TP در ترافیک لایه 2 تونل می زند اما از لایه 3 برای این کار استفاده می کند. بنابراین در *** های لایه شبکه قرار می گیرد. این لایه برای انجام رمزنگاری نیز بسیار مناسب است. در بخشهای بعدی این گزارش به این سری از *** ها به طور مشروح خواهیم پرداخت.
3- *** لایه کاربرد : این *** ها برای کار با برنامه های کاربردی خاص ایجاد شده اند. *** های مبتنی بر SSL از مثالهای خوب برای این نوع از *** هستند. SSL رمزنگاری را بین مرورگر وب و سروری که SSL را اجرا می کند، تامین می کند.SSH مثال دیگری برای این نوع از *** ها است.SSH به عنوان یک مکانیزم امن و رمز شده برای login به اجزای مختلف شبکه شناخته می شود. مشکل ***ها در این لایه آن است که هرچه خدمات و برنامه های جدیدی اضافه می شوند ، پشتیبانی آنها در *** نیز باید اضافه شود.
دسته بندی *** براساس کارکرد تجاری
*** را برای رسیدن به اهداف تجاری خاصی ایجاد می شوند. این اهداف تجاری تقسیم بندی جدیدی را برای *** بنا می کنند .
1- *** اینترانتی : این سری از *** ها دو یا چند شبکه خصوصی را در درون یک سازمان به هم متصل می کنند. این نوع از *** زمانی معنا می کند که می خواهیم شعب یا دفاتر یک سازمان در نقاط دوردست را به مرکز آن متصل کنیم و یک شبکه امن بین آنها برقرار کنیم.
*** اکسترانتی : این سری از *** ها برای اتصال دو یا چند شبکه خصوصی از دو یا چند سازمان به کار می روند. از این نوع *** معمولا برای سناریوهای B2B که در آن دو شرکت می خواهند به ارتباطات تجاری با یکدیگر بپردازند، استفاده می شود.
:o :( :) :D 8-) 8) :? :shock: :oops: :P :-x :lol: :roll: :twisted: :evil: :cry: :wink: :!: :?: :
نقل قول: مقدمه ای بر شبکه خصوصی مجازی (***)
سلام
مي خواستم بپرسم ميشه نحوه ي ارتباط شبكه ي خصوصي رو با اينترنت با مثال بيان كنيد و اينكه روز اول عيد يه برنامه تلويزيون پخش كرد به نام شوك كه راجع به دستگيري يه باند بزرگ بود ، تو اون برنامه يكي از اعضاي باند داشت راجع به اين حرف مي زد كه براي اينكه ردي از خودشون تو اينترنت نذارن از *** استفاده مي كردن ، مي خواستم بدونم اين كار رو چطور مي شه انجام داد؟
ممنون
نقل قول: مقدمه ای بر شبکه خصوصی مجازی (***) - شبکه ***
شبکه ***
شبكه جهاني اينترنت بخش حياتي و غيرقابل تفكيك جامعه جهاني است. در واقع شبكه اينترنت ستون فقرات ارتباطات كامپيوتري جهاني در دهه 1990 است زيرا اساسا به تدريج بيشتر شبكه ها را به هم متصل كرده است.در حال حاضر رفته رفته تفكرات منطقه اي و محلي حاكم بر فعاليت هاي تجاري جاي خود را به تفكرات جهاني و سراسري داده اند. امروزه با سازمانهاي زيادي برخورد مي نمائيم كه در سطح يك كشور داراي دفاتر فعال و حتي در سطح دنيا داراي دفاتر متفاوتي مي باشند . تمام سازمانهاي فوق قبل از هر چيز بدنبال يك اصل بسيار مهم مي باشند : يك روش سريع ، ايمن و قابل اعتماد بمنظور برقراري ارتباط با دفاتر و نمايندگي در اقصي نقاط يك كشور و يا در سطح دنيا بدين منظوربايستي يك شبكهي گستردهي خصوصي بين شعب اين شركت ايجاد گردد. شبكههاي اينترنت كه فقط محدود به يك سازمان يا يك شركت ميباشند، به دليل محدوديتهاي گسترشي نميتوانند چندين سازمان يا شركت را تحت پوشش قرار دهند. شبكههاي گسترده نيز كه با خطوط استيجاري راهاندازي ميشوند، در واقع شبكههاي گستردهي امني هستند كه بين مراكز سازمانها ايجاد ميشوند. پيادهسازي اين شبكهها نياز به هزينه زيادي دارد راه حل غلبه بر اين مشكلات، راهاندازي يك *** است.
*** در يك تعريف كوتاه شبكهاي از مدارهاي مجازي براي انتقال ترافيك شخصي است. در واقع پيادهسازي شبكهي خصوصي يك شركت يا سازمان را روي يك شبكه عمومي، *** گويند.
شبكههاي رايانهاي به شكل گستردهاي در سازمانها و شركتهاي اداري و تجاري مورد استفاده قرار ميگيرند. اگر يك شركت از نظر جغرافيايي در يك نقطه متمركز باشد، ارتباطات بين بخشهاي مختلف آنرا ميتوان با يك شبكهي محلي برقرار كرد. اما براي يك شركت بزرگ كه داراي شعب مختلف در نقاط مختلف يك كشور و يا در نقاط مختلف دنيا است و اين شعب نياز دارند كه با هم ارتباطاتِ اطلاعاتيِ امن داشته باشند، بايستي يك شبكهي گستردهي خصوصي بين شعب اين شركت ايجاد گردد. شبكههاي اينترانت كه فقط محدود به يك سازمان يا يك شركت ميباشند، به دليل محدوديتهاي گسترشي نميتوانند چندين سازمان يا شركت را تحت پوشش قرار دهند. شبكههاي گسترده نيز كه با خطوط استيجاري راهاندازي ميشوند، در واقع شبكههاي گستردهي امني هستند كه بين مراكز سازمانها ايجاد ميشوند. پيادهسازي اين شبكهها عليرغم درصد پايين بهرهوري، نياز به هزينه زيادي دارد. زيرا، اين شبكهها به دليل عدم اشتراك منابع با ديگران، هزينه مواقع عدم استفاده از منابع را نيز بايستي پرداخت كنند. راهحل غلبه بر اين مشكلات، راهاندازي يك *** است.
فرستادن حجم زيادي از داده از يك كامپيوتر به كامپيوتر ديگر مثلا” در به هنگام رساني بانك اطلاعاتي يك مشكل شناخته شده و قديمي است . انجام اين كار از طريق Email به دليل محدوديت گنجايش سرويس دهنده Mail نشدني است .استفاده از FTP هم به سرويس دهنده مربوطه و همچنين ذخيره سازي موقت روي فضاي اينترنت نياز دارد كه اصلا” قابل اطمينان نيست .
يكي از راه حل هاي اتصال مستقيم به كامپيوتر مقصد به كمك مودم است كه در اينجا هم علاوه بر مودم ، پيكر بندي كامپيوتر به عنوان سرويس دهنده RAS لازم خواهد بود . از اين گذشته ، هزينه ارتباط تلفني راه دور براي مودم هم قابل تامل است . اما اگر دو كامپيوتر در دو جاي مختلف به اينترنت متصل باشند مي توان از طريق سرويس به اشتراك گذاري فايل در ويندوز بسادگي فايل ها را رد و بدل كرد . در اين حالت ، كاربران مي توانند به سخت ديسك كامپيوترهاي ديگر همچون سخت ديسك كامپيوتر خود دسترسي داشته باشند . به اين ترتيب بسياري از راه هاي خرابكاري براي نفوذ كنندگان بسته مي شود .
شبكه هاي شخصي مجازي يا( *** ( Virtual private Networkها اينگونه مشكلات را حل ميكند . *** به كمك رمز گذاري روي داده ها ، درون يك شبكه كوچك مي سازد و تنها كسي كه آدرس هاي لازم و رمز عبور را در اختيار داشته باشد مي تواند به اين شبكه وارد شود . مديران شبكه اي كه بيش از اندازه وسواس داشته و محتاط هستند مي توانند *** را حتي روي شبكه محلي هم پياده كنند . اگر چه نفوذ كنندگان مي توانند به كمك برنامه هاي Packet snifter جريان داده ها را دنبال كنند اما بدون داشتن كليد رمز نمي توانند آنها را بخوانند.
يك مثال :
فرض نمائيد درجزيره اي در اقيانوسي بزرگ، زندگي مي كنيد. هزاران جزيره در اطراف جزيره شما وجود دارد. برخي از جزاير نزديك و برخي ديگر داراي مسافت طولاني با جزيره شما ميباشند متداولترين روش بمنظور مسافرت به جزيره ديگر، استفاده از يك كشتي مسافربري است مسافرت با كشتي مسافربري ، بمنزله عدم وجود امنيت است . در اين راستا هر كاري را كه شما انجام دهيد،توسط ساير مسافرين قابل مشاهده خواهد بود.فرض كنيد هر يك از جزاير مورد نظر به مشابه يك شبكه محلي(LAN) و اقيانوس مانند اينترنت باشند. مسافرت با يك كشتي مسافربري مشابه برقراري ارتباط با يك سرويس دهنده وب و يا ساير دستگاههاي موجود در اينترنت است.شما داراي هيچگونه كنترلي بر روي كابل ها و روترهاي موجود در اينترنت نميباشيد.(مشابه عدم كنترل شما بعنوان مسافر كشتي مسافربري بر روي ساير مسافرين حاضر در كشتي ) .در صورتيكه تمايل به ارتباط بين دو شبكه اختصاصي از طريق منابع عمومي وجود داشته باشد، اولين مسئله اي كه با چالش هاي جدي برخورد خواهد كرد، امنيت خواهد بود.
فرض كنيد، جزيره شما قصد ايجاد يك پل ارتباطي با جزيره مورد نظر را داشته باشد .مسير ايجاد شده يك روش ايمن ، ساده و مستقيم براي مسافرت ساكنين جزيره شما به جزيره ديگر را فراهم مي آورد. اما ايجاد و نگهداري يك پل ارتباطي بين دو جزيره مستلزم صرف هزينه هاي بالائي خواهد بود.(حتي اگر جزاير در مجاورت يكديگر باشند).با توجه به ضرورت و حساسيت مربوط به داشتن يك مسير ايمن و مطمئن ، تصميم به ايجاد پل ارتباطي بين دو جزيره گرفته شده است. در صورتيكه جزيره شما قصد ايجاد يك پل ارتباطي با جزيره ديگر را داشته باشد كه در مسافت بسيار طولاني نسبت به جزيره شما واقع است ، هزينه هاي مربوط بمراتب بيشتر خواهد بود.
وضعيت فوق ، نظير استفاده از يك اختصاصي Leased است. ماهيت پل هاي ارتباطي(خطوط اختصاصي) از اقيانوس (اينترنت) متفاوت بوده و كماكان قادر به ارتباط جزاير شبكه هاي( LAN) خواهند بود. سازمانها و موسسات متعددي از رويكرد فوق ( استفاده از خطوط اختصاصي) استفاده مي نمايند. مهمترين عامل در اين زمينه وجود امنيت و اطمينان براي برقراري ارتباط هر يك سازمانهاي مورد نظر با يكديگر است . در صورتيكه مسافت ادارات و يا شعب يك سازمان از يكديگر بسيار دور باشد ، هزينه مربوط به برقراي ارتباط نيز افزايش خواهد يافت
با توجه به موارد گفته شده ، چه ضرورتي بمنظور استفاده از *** وجود داشته و *** تامين كننده ، كداميك از اهداف و خواسته هاي مورد نظر است ؟
يك شبكه اختصاصي مجازي (***) از رمزنگاري سطح بالا براي ايجاد ارتباط امن بين ابزار دور از يكديگر، مانند لپ تاپ ها و شبكه مقصد استفاده مي كند. *** اساساً يك تونل رمزشده تقريباً با امنيت و محرمانگي يك شبكه اختصاصي اما از ميان اينترنت ايجاد مي كند. اين تونل *** مي تواند در يك مسيرياب برپايه ***، فايروال يا يك سرور در ناحيه Dmz پايان پذيرد. برقراري ارتباطات *** براي تمام بخش هاي دور و بي سيم شبكه يك عمل مهم است كه نسبتاً آسان و ارزان پياده سازي مي شود.
تبادل داده ها روي اينرنت چندان ايمن نيست . تقريبا” هر كسي كه در جاي مناسب قرار داشته باشد مي تواند جريان داده ها را زير نظر گرفته و از آنها سوء استفاده كند . اگرچه *** رمزنگاري مؤثري ارائه مي كندو كار نفوذ را برا ي خرابكاران خيلي سخت مي كند ، اما كار اجرايي بيشتري را برروي كارمندان It تحميل مي كنند، چرا كه كليدهاي رمزنگاري و گروه هاي كاربري بايد بصورت مداوم مديريت شوند.
قراردادهای ردهي بستهگراي***
***Simple Key Management for Internet Protocol SKIP:
يك قرارداد مديريت كليد است ولي با توجه به اينكه اين قرارداد امكانات تونلكشي را نيز ارائه ميدهد، ميتوان آنرا به عنوان يك قرارداد پيادهسازي *** در نظر گرفت. اين قرارداد در سطح لايهي سوم OSI كار ميكند.
Layer 2 Tunneling Protocol L2TP:
يك مكانيزم تونلكشي است كه از تركيب مكانيزمهاي PPTP وL2F به منظور بهرهوري از محاسن هر دو قرارداد به وجود آمده است و از قرارداد PPP براي بستهبندي اطلاعات استفاده ميكند.
از پروتكل فوق بمنظور ايجاد تونل بين موارد زير استفاده مي گردد :
● سرويس گيرنده و روتر
●NAS و روتر
● روتر و روتر
Layer Two Filtering L2F:
اين قرارداد مانند PPTP يك قرارداد تونلكشي در لايهي دوم است كه توسط شركت Cisco ارائه شده و بوسيلهي بعضي از شركتها نظير Telecom حمايت ميشود.
Point to Point Tunneling Protocol PPTP:
يك مكانيزم تونلكشي نقطه به نقطه است كه براي دسترسي راه دور به كارگزار سختافزاري Ascend و ويندوز NT طراحي شده است.در اين قراداد، امكان رمزنگاري و هويتشناسي پيشبيني نشده و ازقرارداد PPPبراي بستهبندي اطلاعات استفاده ميشود.قراردادPPP ارتباط تلفني يك ميزبان به شبكهي محلي را فراهم ميآورد و وظيفهي لايهي پيوند داده و لايهي فيزيكي را هنگام ارتباط تلفني ميزبان به فراهم آورندهي سرويس اينترنت(ISP)، انجام ميدهد قراردادPPTP در كاربردهاي كوچك و كاربردهايي كه نياز به امنيت خيلي بالايي ندارند، استفاده ميشود.راهاندازي*** با استفاده از قرارداد PPTP در اين محيطها كمهزينه و مقرون بصرفه است. قرارداد PPTP داراي قابليت پيادهسازي*** شبكهي محلي-بهشبكهي محلي نيز ميباشد
اين پروتكل امكان رمزنگاري 40 بيتي و 128 بيتي را دارا بوده و از مدل هاي تعيين اعتبار كاربر كه توسط PPP حمايت شده اند ، استفاده مي نمايد.
Ipsec IP Security protocol:
Ipsec برخلافPPTP و L2TP روي لايه شبكه يعني لايه سوم كار مي كند . اين پروتكل داده هايي كه بايد فرستاده شود را همراه با همه اطلاعات جانبي مانند گيرنده و پيغام هاي وضعيت رمز گذاري كرده و به آن يك IP Header معمولي اضافه كرده و به آن سوي تونل مي فرستد .
كامپيوتري كه در آن سو قرار دارد IP Header را جدا كرده ، داده ها را رمز گشايي كرده و آن را به كامپيوتر مقصد مي فرستد .Ipsec را مي توان با دو شيوه Tunneling پيكر بندي كرد . در اين شيوه انتخاب اختياري تونل ، سرويس گيرنده نخست يك ارتباط معمولي با اينترنت برقرار مي كند و سپس از اين مسير براي ايجاد اتصال مجازي به كامپيوتر مقصد استفاده مي كند . براي اين منظور ، بايد روي كامپيوتر سرويس گيرنده پروتكل تونل نصب شده باشد . معمولا” كاربر اينترنت است كه به اينترنت وصل مي شود . اما كامپيوترهاي درون LAN هم مي توانند يك ارتباط *** برقرا كنند . از آنجا كه ارتباط IP از پيش موجود است تنها برقرار كردن ارتباط *** كافي است . در شيوه تونل اجباري ، سرويس گيرنده نبايد تونل را ايجاد كند بلكه اين كار ار به عهده فراهم ساز (Service provider ) است . سرويس گيرنده تنها بايد به ISP وصل شود . تونل به طور خودكار از فراهم ساز تا ايستگاه مقصد وجود دارد . البته براي اين كار بايد همانگي هاي لازم با ISP انجام بگيرد
قراردادهای كاربردگراي ***
قراردادهای:SSH
کاربرد اصلي قرارداد SSH، امن نمودن خدمت ارتباط از راه دور است. اين قرارداد در لايهي كاربرد و بالاتر از قرارداد TCP/IP كار ميكند. SSH قابليت هويتشناسي كاربران ورمزنگاري اطلاعات را دارد. قرارداد SSH داراي سه لايهي اصلي انتقال، هويتشناسي كاربر و اتصال ميباشد. لايهي انتقال، وظيفهي فراهم آوردن امنيت و هويتشناسي كارگزار را بهعهده دارد. به علت قرار گرفتن اين لايه بر روي لايهي TCP و همچنين وجود حفرهي امنيتي در لايههاي TCP و IP، امنيت در ارتباط بين دو كامپيوتر از بين خواهد رفت، كه ميتوان با قرار دادن ديوارهي آتش بر روي آن، اين مشكل را به نوعي حل نمود. لايهي هويتشناسي كاربر، وظيفهي شناساندن كارفرما به كارگزار را به عهده دارد. لايهي اتصال وظيفهي تسهيم و ايجاد كانالهاي امن لايههاي انتقال و هويتشناسي را بر عهده دارد. از قرارداد SSH ميتوان براي پيادهسازي شبكههاي خصوصي كه حالت خاصي از ***ها هستند، استفاده نمود.
قرار دادSOCKS :
قرارداد SOCKS در مدل لايهبندي شبكه OSI درلايهي پنجم بصورت كارفرما و كارگزار پيادهسازي شده است اين قرارداد داراي امكان رمزنگاري اطلاعات نيست ولي بدليل داشتن امكان هويتشناسي چند سطحي و امكان مذاكره بين كارفرما وكارگزار SOCKS(NegotiateCapability)، ميتوان از آن براي پيادهسازي قراردادهاي رمزنگاري موجود، از آن استفاده نمود. SOCKS، به صورت Circuit-Level Proxy پياده سازی شده است. يعني، كارفرما و كارگزار SOCKS در دروازههاي دو شبكه محلي، اعمال هويتشناسي و مذاكرههاي لازم را انجام ميدهند و سپس ارتباطات ميزبانهاي دو شبكه محلي با يكديگر انجام ميشود. چون كارفرماي SOCKS مثل يك Proxy عمل مينمايد، ميتوان براي امنيت بيشتر، به ميزبانهاي شبكهي محلي، آدرسهاي نامعتبر اختصاص داد و با ترجمه آدرس شبكه (NAT) كه در كارگزار SOCKS انجام ميشود، اين آدرسهاي نامعتبر را به آدرس معتبر و بالعكس تبديل نمود. با اين روش ميتوان شبكه محلي را از يك شبكه عمومي مخفي نمود.
قراردادهای موجود در پيادهسازي ***
o ردهي بستهگرا Packet Oriented
لفافهبندي روي بستهها اِعمال ميشود. اكثر پيادهسازيهاي تجاري و غيرتجاري ***، بستهگرا ميباشند. اين قرارداد از قرارداد PPP براي بستهبندي اطلاعات استفاده مينمايد. اين نوع قراردادها در مدل استاندارد لايهبندي شبكهي OSI، در سطح لايههاي دوم و سوم قرار دارند. بنابراين، امكان تونلكشي براي دسترسي راه دور وجود دارد.
o ردهي كاربردگرا Application Oriented
در قراردادهای كاربردگرا، اعمال رمزنگاري اطلاعات و هويتشناسي كاربران انجام ميشود. اين نوع قراردادها در مدل پشتهاي شبكهي OSI در لايههاي چهارم به بالا قرار دارند و چون آدرسدهي شبكهها و ميزبانها در لايهي سومِ مدلِ پشتهاي شبكهي OSI امكانپذير است، اين نوع قراردادها امكان تونلكشي بين ميزبان و شبكهي محلي يا بين دو شبكهي محلي را فراهم نمیکنند. با توجه به عدم امكان تونلكشي در قراردادهای اين رده، توانايي ايجاد شبكههاي مجازي در قراردادهای اين رده وجود ندارد و از اين قراردادها براي ايجاد شبكههاي خصوصي استفاده ميشود. البته ميتوان براي مخفيسازي آدرسهاي شبكهي محلي، از امكان ترجمهي آدرس شبكه(NAT) که در اكثر ديوارههاي آتش وجود دارد، استفاده نمود. با اين روش ميتوان بعضي از قابليتهاي تونلكشي را براي قراردادهای *** كاربردگرا ايجاد كرد.
تكنولوژي هاي ***
با توجه به نوع) *** "دستيابي از راه دور " و يا " سايت به سايت " ) ، بمنظور ايجاد شبكه از عناصر خاصي استفاده مي گردد:
- نرم افزارهاي مربوط به كاربران از راه دور
- سخت افزارهاي اختصاصي نظير يك " كانكتور ***" و يا يك فايروال PIX
- سرويس دهنده اختصاصي *** بمنظور سرويُس هاي Dial-up
- سرويس دهنده NAS كه توسط مركز ارائه خدمات اينترنت بمنظور دستيابي به *** از نوع "دستيابي از را دور" استفاده مي شود.
- كانكتور *** . سخت افزار فوق توسط شركت سيسكو طراحي و عرضه شده است. كانكتور فوق در مدل هاي متفاوت و قابليت هاي گوناگون عرضه شده است .
- روتر مختص *** . روتر فوق توسط شركت سيسكو ارائه شده است . اين روتر داراي قابليت هاي متعدد بمنظور استفاده در محيط هاي گوناگون است . - در طراحي روتر فوق شبكه هاي *** نيز مورد توجه قرار گرفته و امكانات مربوط در آن بگونه اي بهينه سازي شده اند.
- فايروال PIX . فايروال PIX(Private Internet exchange) قابليت هائي نظيرNAT، سرويس دهنده Proxy ، فيلتر نمودن بسته اي اطلاعاتي، فايروال و*** را در يك سخت افزار فراهم نموده است
- با توجه به اينكه تاكنون يك استاندارد قابل قبول و عمومي بمنظور ايجاد ش*** ايجاد نشده است ، شركت هاي متعدد هر يك اقدام به توليد محصولات اختصاصي خود نموده اند.
معماريهاي ***
شبكهي محلي-به-شبكهي محلي: تبادل اطلاعات به صورت امن، بين دو شعبهي مختلف از يك سازمان ميتواند از طريق شبكه عمومي و به صورت مجازي، به فرم شبكهي محلي-به-شبكهي محلي صورت گيرد. هدف از اين نوع معماري، اين است كه تمامي رايانههاي متصل به شبكههاي محليِ مختلفِ موجود در يك سازمان، كه ممكن است از نظر مسافت بسيار از هم دور باشند، به صورت مجازي، به صورت يك شبكه محلي ديده شوند و تمامي رايانههاي موجود در اين شبكهي محلي مجازي بتوانند به تمامي اطلاعات و كارگزارها دسترسي داشته باشند و از امكانات يكديگر استفاده نمايند. در اين معماري، هر رايانه تمامي رايانههاي موجود در شبكهي محلي مجازي را به صورت شفاف مشاهده مينمايد و قادر است از آنها استفادهي عملياتي و اطلاعاتي نمايد. تمامي ميزبانهاي اين شبكهي مجازي داراي آدرسي مشابه ميزبانهاي يك شبكهي محلي واقعي هستند.
شبكهي محلي-به-شبكهي محلي مبتني بر اينترانت : در صورتيكه سازماني داراي يك و يا بيش از يك محل ( راه دور) بوده و تمايل به الحاق آنها در يك شبكه اختصاصي باشد ، مي توان يك اينترانت *** را بمنظور برقراي ارتباط هر يك از شبكه هاي محلي با يكديگر ايجاد نمود.
شبكهي محلي-به-شبكهي محلي مبتني بر اكسترانت : در موارديكه سازماني در تعامل اطلاعاتي بسيار نزديك با سازمان ديگر باشد ، مي توان يك اكسترانت *** را بمنظور ارتباط شبكه هاي محلي هر يك از سازمانها ايجاد كرد. در چنين حالتي سازمانهاي متعدد قادر به فعاليت در يك محيط اشتراكي خواهند بود.
● ميزبان-به-شبكهي محلي: حالت خاص معماري شبكهي محلي-به-شبكهي محلي، ساختار ميزبان-به-شبكهي محلي است كه در آن، يك كاربر مجاز (مانند مدير شركت كه از راه دور كارهاي اداري و مديريتي را كنترل مي كند و يا نمايندهي فروش شركت كه با شركت ارتباط برقرار كرده و معاملات را انجام ميدهد) ميخواهد از راه دور با يك شبكه محلي كه پردازشگر اطلاعات خصوصي يك شركت است و با پايگاه دادهي شركت در تماس مستقيم است، ارتباط امن برقرار نمايد. در اين ارتباط در واقع ميزبان راه دور به عنوان عضوي از شبكهي محلي شركت محسوب ميشود كه قادر است از اطلاعات و كارگزارهاي موجود در آن شبكه محلي استفاده نمايد. از آنجا كه اين يك ارتباط دوطرفه نيست، پس ميزبانهاي آن شبكه محلي، نيازي به برقراري ارتباط با ميزبان راه دور ندارند. در صورت نياز به برقراري ارتباط شبكهي محلي با ميزبان راه دور، بايد همان حالت معماري شبكهي محلي-به-شبكهي محلي پيادهسازي شود. در اين معماري برقراري ارتباط همواره از سوي ميزبان راه دور انجام ميشود.
سازمانهائي كه تمايل به برپاسازي يك شبكه بزرگ " دستيابي از راه دور " مي باشند ، مي بايست از امكانات يك مركز ارائه دهنده خدمات اينترنت جهاني ISP(Internet service provider) استفاده نمايند. سرويس دهنده ISP ، بمنظور نصب و پيكربندي*** ، يك NAS(Network access server) را پيكربندي و نرم افزاري را در اختيار كاربران از راه دور بمنظور ارتباط با سايت قرار خواهد داد. كاربران در ادامه با برقراري ارتباط قادر به دستيابي به NAS و استفاده از نرم افزار مربوطه بمنظور دستيابي به شبكه سازمان خود خواهند بود.
امنيت در ***
خصوصي بودن يك *** بدين معناست كه بستهها به صورت امن از يك شبكهي عمومي مثل اينترنت عبور نمايند. براي محقق شدن اين امر در محيط واقعي از:
هويتشناسي بستهها، براي اطمينان از ارسال بستهها به وسيله يك فرستندهي مجاز استفاده ميشود.
فايروال . فايروال يك ديواره مجازي بين شبكه اختصاي يك سازمان و اينترنت ايجاد مي نمايد. با استفاده از فايروال مي توان عمليات متفاوتي را در جهت اعمال سياست هاي امنيتي يك سازمان انجام داد. ايجاد محدوديت در تعداد پورت ها فعال ، ايجاد محدوديت در رابطه به پروتكل هاي خاص ، ايجاد محدوديت در نوع بسته هاي اطلاعاتي و ... نمونه هائي از عملياتي است كه مي توان با استفاده از يك فايروال انجام داد.
تونل کشی
مجازي بودن در *** به اين معناست كه شبكههاي محلي و ميزبانهاي متعلق به عناصر اطلاعاتي يك شركت كه در نقاط مختلف از نظر جغرافيايي قرار دارند، همديگر را ببينند و اين فاصلهها را حس نكنند. ***ها براي پيادهسازي اين خصوصيت از مفهومي به نام تونلكشي(tunneling)استفاده ميكنند. در تونلكشي، بين تمامي عناصر مختلف يك ***، تونل زده ميشود. از طريق اين تونل، عناصر به صورت شفاف همديگر را ميبينند
در روش فوق تمام بسته اطلاعاتي در يك بسته ديگر قرار گرفته و از طريق شبكه ارسال خواهد شد. پروتكل مربوط به بسته اطلاعاتي خارجي ( پوسته ) توسط شبكه و دو نفطه (ورود و خروج بسته اطلاعاتي )قابل فهم ميباشد. دو نقطه فوق را "اينترفيس هاي تونل " مي گويند. روش فوق مستلزم استفاده از سه پروتكل است :
● پروتكل حمل كننده : از پروتكل فوق شبكه حامل اطلاعات استفاده مي نمايد.
● پروتكل كپسوله سازي: از پروتكل هائي نظير: IPSec,L2F,PPTP,L2TP,GRE استفاده ميگردد.
پروتكل مسافر: از پروتكل هائي نظير IPX,IP,NetBeui بمنظور انتقال داده هاي اوليه استفاده مي شود.
با توجه به مقايسه انجام شده در مثال فرضي ، مي توان گفت كه با استفاده از *** به هريك از ساكنين جزيره يك زيردريائي داده مي شود. زيردريائي فوق داراي خصايص متفاوت نظير :
- داراي سرعت بالا است .
- هدايت آن ساده است .
- قادر به استتار( مخفي نمودن) شما از ساير زيردريا ئيها و كشتي ها است .
- قابل اعتماد است .
- پس از تامين اولين زيردريائي ، افزودن امكانات جانبي و حتي يك زيردريائي ديگرمقرون به صرفه خواهد بود
- در مدل فوق ، با وجود ترافيك در اقيانوس ، هر يك از ساكنين دو جزيره قادر به تردد در طول مسير در زمان دلخواه خود با رعايت مسايل ايمني ميباشند
مثال فوق دقيقا" بيانگر تحوه عملكرد *** است . هر يك از كاربران از راه دور شبكه قادربه برقراري ارتباطي امن و مطمئن با استفاده از يك محيط انتقال عمومي ( نظير اينترنت ) با شبكه محلي (lan) موجود در سازمان خود خواهند بود. توسعه يك *** افزايش تعداد كاربران از راه دور و يا افزايش مكان هاي مورد نظر ) بمراتب آسانتر از شبكه هائي است كه از خطوط اختصاصي استفاده مي نمايند. قابليت توسعه فراگير از مهمترين ويژگي هاي يك *** نسبت به خطوط اختصاصي است .
معایب ومزایا
با توجه به اينكه در يك شبكه *** به عوامل متفاوتي نظير : امنيت ، اعتمادپذيري ، مديريت شبكه و سياست ها نياز خواهد بود. استفاده از *** براي يك سازمان داراي مزاياي متعددي مانند :
● گسترش محدوه جغرافيائي ارتباطي
● بهبود وضعيت امنيت
● كاهش هزينه هاي عملياتي در مقايسه با روش هاي سنتي نظير Wan
● كاهش زمان ارسال و حمل اطلاعات براي كاربران از راه دور
● بهبود بهره وري
● توپولوژي آسان ،... است .
برخي از جوانب منفي شبكه سازي اينترنتي به اين شرح است :
● شك نسبت به اطلاعات دريافت شده
● استفاده از منابع غيرموثق
● تفسير بد از اطلاعات رسيده
● سرقت ايده ها
● نبود مهارتهاي حرفه اي در كار با اطلاعات
● فروش اطلاعات يا استفاده نابجاي از اطلاعات
● عدم اطمينان از كارايي سرويس و تأخير در ارتباطات
*** نسبت به شبكههاي پيادهسازي شده با خطوط استيجاري، در پيادهسازي و استفاده، هزينه كمتري صرف ميكند. اضافه وكم كردن گرهها يا شبكههاي محلي به ***، به خاطر ساختار آن، با هزينه كمتري امكانپذير است. در صورت نياز به تغيير همبندي شبكهي خصوصي، نيازي به راهاندازي مجدد فيزيكي شبكه نيست و به صورت نرمافزاري، همبندي شبكه قابل تغيير است.
نقل قول: مقدمه ای بر شبکه خصوصی مجازی (***)
باتشکر از مطالب مفیدتون اگه ممکنه یکی از دوستان راه اندازی ی*** رو در یه شبکه محلی local توضیح بده حتما میدونید که در یه شبکه محلی یکی از راههای که اینترنت رو به اشتراک بذاریم و بقه شبکه محفوظ بمونه استفاده از *** ممنون میشم