Virtuaalsed kohtvõrgud (VLAN). Mõelge mõnele VPN-i loomise võimalusele. Mis on vpn iPhone'is

Virtuaalne võrk on kommuteeritud võrk, mis on loogiliselt segmenteeritud funktsioonide, kasutatavate rakenduste või kasutajate seotuse järgi konkreetse osakonnaga, olenemata füüsiline asukoht nende arvutid. Iga lülitiporti saab lisada virtuaalsesse võrku. Kõik samasse virtuaalvõrku kuuluvad pordid aktsepteerivad leviteateid sees, samas kui sellesse mittekuuluvad pordid neid sõnumeid vastu ei võta. Virtuaalsete võrkude rakendamiseks on kolm võimalust, mida saab kasutada lülitiportide kaasamiseks virtuaalsesse võrku: keskport, staatiline ja dünaamiline.

Staatiline virtuaalne võrk (staatiline VLAN) on staatiliselt virtuaalseks võrguks ühendatud kommutaatori portide kogum. Need pordid säilitavad määratud konfiguratsiooni seni, kuni administraator seda muudab. Kuigi staatilised virtuaalsed võrgud nõuavad muudatuste tegemiseks administraatori sekkumist, on nende eelised hõlmavad kõrge tase turvalisus, konfigureerimise lihtsus ja võimalus võrgu toimimist vahetult jälgida.

Dünaamilised virtuaalsed võrgud (dünaamiline VLAN) on lülitiportide loogiline rühmitus, mis suudab automaatselt määrata nende asukoha virtuaalne võrk. Dünaamilise virtuaalvõrgu toimimine põhineb MAC-aadressidel, loogilisel adresseerimisel või andmepakettide protokollitüübil. Selle lähenemisviisi peamised eelised on töömahu vähenemine uue kasutaja lisamisel või olemasoleva teisaldamisel ning kõigi kasutajate tsentraliseeritud teavitamine, kui võrku lisatakse tundmatu kasutaja. Peamine töö on sel juhul andmebaasi installimine virtuaalse võrguhaldustarkvarasse ja selle ajakohasena hoidmine.

Pordipõhised VLAN-id

Sel juhul määrab administraator iga lüliti pordi kuuluma VLAN-i. Näiteks pordid 1-3 saab määrata müügi VLAN-ile, pordid 4-6 arendaja VLAN-ile ja pordid 7-9 VLAN-ile võrgu haldus. Lüliti määrab, millisesse VLAN-i iga pakett kuulub, võttes arvesse porti, kuhu see saabus.

Kui kasutaja arvuti loob ühenduse mõne muu lüliti pordiga, saab võrguadministraator lihtsalt ümber kaardistada uus sadam vana VLAN-i jaoks, kuhu kasutaja kuulus. Sel juhul võrgu muudatused on kasutajale täiesti läbipaistvad ja administraator ei pea võrgu topoloogiat muutma. Sellel meetodil on aga üks märkimisväärne puudus Kui jaotur on ühendatud kommutaatori pordiga, peavad kõik sellega ühendatud kasutajad kuuluma samasse VLAN-i.

Seetõttu on see lahendus vastuvõetamatu, kui kasutate jaotureid või võrkudes võimsate serveritega, millele pääsevad juurde paljud kasutajad (serverit ei saa kaasata erinevatesse VLAN-idesse). Lisaks ei võimalda pordipõhised virtuaalsed võrgud võrgus piisavalt muudatusi teha. lihtne viis sest iga muudatus nõuab füüsilist seadmete ümberlülitamist.

Pordimagistraalide virtuaalvõrkudes on kõik virtuaalse võrgu hostid ühendatud sama ruuteri liidesega. Joonisel on kujutatud ruuteri pordiga ühendatud virtuaalse võrgu kasutajate perekond. See ühendus hõlbustab administraatori tööd ja parandab võrgu tõhusust, kuna:

1) haldustoimingud on virtuaalses võrgus hõlpsasti sooritatavad;
2) virtuaalvõrkude vahelise infovahetuse turvalisuse suurendamine; paketid ei "leki" teistesse domeenidesse.

Lihtsamal juhul seade, millel on ainult üks võrguliides, saab lisada ainult ühte VLAN-i. Võimaldada võrguseade mitmes VLAN-is peab sellel olema mitu võrguadapterit.

IEEE 802.1Q standard pordipõhises VLAN-i spetsifikatsioonis näeb ette suhtlemist seadmetega, mis ei toeta 802.1q kapseldamist. Selle spetsifikatsiooni kohaselt on iga kaadritüüp määratud erinevale VLAN-ile. Algselt kuuluvad kõik kommutaatori pordid VLAN-i, millel on pordi VLAN ID (PVID).

PVID on arvväärtus, vaikeväärtus on 1. Kõik VLAN-i mittetootvate seadmete loodud märgistamata kaadrid identifitseeritakse PVID-iga VLAN-i kuuluvatena. Kui kaadri genereerib VLAN-toega seade, sisaldab see vastavat VLAN-i silti, mis sisaldab VLAN-i ID-d (VID). Igal lülitipordil võib olla üks või mitu VID-i. Kui raam saabub lülitiporti, tuvastab selle selle VID. Lüliti otsib üles VLAN-i tabeli ja edastab kaadri sama VID-iga portidesse.

Joonisel toodud näites tuvastatakse pordis 0 olevast seadmest pärit märgistamata kaader VLAN-i kuuluvana, mille PVID=1 ja mis edastatakse porti 1, millel on sama PVID. Kui kaader VID=2-ga saabub seadmest pordis 1, suunatakse see edasi portidesse 0 ja 3.

Põhineb virtuaalsetel võrkudel MAC-aadress(MAC-aadressipõhine VLAN)

Põhineb MAC-aadressil (MAC-aadressipõhine VLAN) – sel juhul määratakse paketi kuuluvus VLAN-i allika või sihtkoha MAC-aadressi järgi. Iga lüliti haldab MAC-aadresside tabelit ja nende seost VLAN-idega. Peamine eelis Selle meetodi kohaselt ei ole vaja lülitit uuesti seadistada, kui kasutajad uuesti ühenduvad erinevad sadamad. MAC-aadresside määramine VLAN-idele võib aga olla aeganõudev ja mitmele VLAN-ile eraldi MAC-aadresside määramine võib olla hirmuäratav ülesanne. See võib olla oluline piirang serveriressursside jagamisel mitme VLAN-i vahel. (Kuigi MAC-aadressi saab teoreetiliselt määrata mitmele VLAN-ile, võib see põhjustada tõsiseid probleeme olemasoleva marsruutimise ja lüliti pakettide edastamise tabelitega seotud vigadega.)

Reeglina näeb seadmete tootja sellise võrgu loomiseks ette halduri olemasolu. tarkvara võrgu haldamiseks.

VLAN-ide vahelist suhtlust saab teha kahel viisil. Esimesel juhul tuleb seadmesse installida täiendav võrguadapter ja ühendada see teise võrguga. See meetod on vastuvõetamatu suure hulga seadmetega, mis sisalduvad mitmes VLAN-is. Teisel juhul kasutatakse võrkude ühendamiseks ruuterit. Kuid sel juhul on piirangud. Ruuteril peab olema iga VLAN-i jaoks eraldi port. Sel juhul on võrkude ühendamine ühes segmendis võimatu, kuna ruuter töötab OSI mudeli kolmandal kihil.

Võrgukihi virtuaalsed võrgud

Kasutades teist lähenemisviisi, peavad kommutaatorid virtuaalse võrgu moodustamiseks mõistma mingit virtuaalset võrku. võrguprotokoll. Neid lüliteid nimetatakse 3. kihi lülititeks, kuna need ühendavad lülitamise ja marsruutimise funktsioonid. Igale virtuaalsele võrgule antakse konkreetne võrguaadress – tavaliselt IP- või IPX-aadress.

Kommuteerimise ja marsruutimise tihe integreerimine on virtuaalsete võrkude ehitamisel väga mugav, kuna sel juhul pole vaja raamidesse lisavälju sisestada. Lisaks määrab administraator võrgud ainult üks kord ega korda seda tööd lingi ja võrgu tasemel. Määratakse sel juhul lõppsõlme kuuluvus ühte või teise virtuaalvõrku traditsioonilisel viisil- võrguaadressi määramisega. Switchi pordid saavad ka võrguaadresse ning toetada saab klassikaliste ruuterite mittestandardseid olukordi, kui ühel pordil võib olla mitu võrguaadressid, kui seda läbib liiklus mitmest virtuaalsest võrgust või kui mitmel pordil on sama võrguaadress, kui need teenindavad sama virtuaalset võrku.

Kaadrite ülekandmisel sama virtuaalse võrgu sees toimivad Layer 3 lülitid nagu klassikalised Layer 2 lülitid ja kui on vaja kaader ühest virtuaalvõrgust teise üle kanda, töötavad need nagu ruuterid. Marsruutimise otsus tehakse tavaliselt traditsioonilisel viisil – selle teeb lõppsõlm, kui ta näeb lähte- ja sihtkoha võrguaadresside põhjal, et kaader tuleb saata teise võrku.

Võrguprotokolli kasutamine virtuaalsete võrkude loomiseks piirab aga nende ulatust ainult 3. kihi lülitite ja sõlmedega, mis toetavad võrguprotokolli. Tavalised lülitid ei suuda selliseid virtuaalseid võrke toetada ja see on nii suur puudus. Üle parda jäävad ka võrkudeks, mis põhinevad mittemarsruutitavatel protokollidel, peamiselt NetBIOS-võrkudel.

Nendes VLAN-ides eristatakse alamvõrgupõhiseid võrke, protokollipõhiseid võrke ja reeglipõhiseid võrke.

Alamvõrgupõhised virtuaalsed võrgud

Sellise VLAN-i organisatsiooni näiteks on võrk, kus üks alamvõrk, näiteks klass C aadressiga 198.78.55.0/24, vastab ühele VLAN-ile, klassi C teine alamvõrk 198.78.42.0/24 vastab teisele VLAN-ile.

Viga seda meetodit on see, et kui lüliti ei toeta mitut IP-alamvõrku samas pordis, on teisele VLAN-ile liikumiseks vaja tööjaama füüsilist ümberlülitamist.

Võrguprotokollipõhised virtuaalsed võrgud

Virtuaalne võrgu LAN tasemed võimaldavad administraatoril siduda liiklust konkreetse protokolli jaoks vastavas virtuaalses võrgus. Täpselt samamoodi luuakse ringhäälingu domeene ruuteripõhistes võrkudes. Protokolli saab määrata IP-alamvõrgu või IPX-võrgu numbri kujul. Näiteks saate ühendada virtuaalsesse kohtvõrku kõik enne lülitite kasutamist korraldatud alamvõrgu kasutajad.

Näiteks on võrk, kus ainult IP-seadmed on ühes VLAN-is, ainult IPX-seadmed on teises VLAN-is ja mõlemad protokollid on mõlemas võrgus.

Reeglipõhised virtuaalsed võrgud

Seadmete lisamiseks VLAN-i saab kasutada kõiki ülaltoodud meetodeid, kui lülitid neid toetavad. Kui reeglid on kõikidesse lülititesse laaditud, pakuvad need VLAN-i organisatsioon administraatori seatud kriteeriumide alusel. Kuna need võrgud kontrollivad pidevalt kaadreid eelmääratletud kriteeriumidele vastavuse osas, võib kasutajate liikmelisus virtuaalvõrkudes muutuda olenevalt kasutaja praegusest tegevusest.

Reeglipõhised VLAN-id kasutavad laia valikut võrgu liikmelisuse kriteeriume, sealhulgas kõiki ülaltoodud valikuid: MAC-aadressid, võrgukihi aadressid, protokolli tüüp jne. Samuti on võimalik kasutada mis tahes kriteeriumide kombinatsiooni, et luua oma vajadustele kõige paremini vastavad reeglid.

Virtuaalne kohtvõrk (Virtual Local Area Network, VLAN) on võrgusõlmede rühm, mille liiklus, sealhulgas ringhääling, on lingi tasemel täielikult isoleeritud teiste võrgusõlmede liiklusest.

Riis. 14.10. Virtuaalne kohalikud võrgud.

See tähendab, et kaadriülekanne erinevate virtuaalvõrkude vahel toimub aadressi alusel lingikiht ei ole võimalik olenemata aadressi tüübist (ainulaadne, multisaade või leviedastus). Samal ajal edastatakse virtuaalvõrgus kaadreid kommutatsioonitehnoloogia abil, seejärel ainult pordi kaudu, mis on seotud kaadri sihtkoha aadressiga.

VLAN-id võivad kattuda, kui üks või mitu arvutit on osa rohkem kui ühest VLAN-ist. Joonisel fig. 14.10, on meiliserver osa virtuaalvõrkudest 3 ja 4. See tähendab, et selle kaadrid edastatakse lülitite kaudu kõikidesse nendesse võrkudesse kuuluvatesse arvutitesse. Kui arvuti on ainult osa virtuaalsest võrgust 3, siis selle kaadrid ei jõua võrku 4, kuid ta saab suhelda võrgu 4 arvutitega läbi ühise meiliserveri. Selline skeem ei kaitse täielikult virtuaalseid võrke üksteise eest, näiteks serveris toimunud levitormi eest Meil, ujutab üle nii võrgu 3 kui ka võrgu 4.

Väidetavalt moodustab virtuaalne võrk leviedastusliikluse domeeni, mis on sarnane kokkupõrkedomeeniga, mille moodustavad Etherneti repiiterid.

Virtuaalsete võrkude eesmärk

Nagu nägime eelmises jaotises toodud näites, võivad kohandatud filtrid häirida lülitite normaalset tööd ja piirata LAN-sõlmede koostoimet vastavalt nõutavatele juurdepääsureeglitele. Lülitite kohandatud filtrimehhanismil on aga mitmeid puudusi:

Peate seadma iga võrgusõlme jaoks eraldi tingimused, kasutades tülikaid MAC-aadresse. Palju lihtsam oleks sõlmede rühmitamine ja rühmade interaktsioonitingimuste korraga kirjeldamine.

Võimatu blokeerida ringhäälingu liiklus. Leviliiklus võib põhjustada võrgu kättesaamatuks muutumise, kui mõned selle sõlmed genereerivad tahtlikult või tahtmatult suure kiirusega levikaadreid.

Virtuaalsete kohtvõrkude tehnika lahendab võrgusõlmede interaktsiooni piiramise probleemi erineval viisil.

Peamine eesmärk VLAN-tehnoloogiad seisneb eraldatud võrkude loomise protsessi hõlbustamises, mis seejärel tavaliselt ruuterite abil omavahel ühendatakse. See võrgukujundus loob võimsad tõkked soovimatule liiklusele ühest võrgust teise. Tänapäeval peetakse ilmselgeks, et iga suur võrk peab sisaldama ruutereid, vastasel juhul "ujutavad" vigaste kaadrite vood, näiteks saated, perioodiliselt kogu võrgu nende jaoks läbipaistvate lülitite kaudu, viies selle mittetoimivasse olekusse.

Virtuaalse võrgutehnoloogia eeliseks on see, et see võimaldab luua täielikult isoleeritud võrgusegmente, konfigureerides lüliteid loogiliselt, ilma füüsilist struktuuri muutmata.

Enne VLAN-tehnoloogia tulekut luua eraldi võrk kasutati kas füüsiliselt isoleeritud segmente koaksiaalkaabel, või repiiteritele ja sildadele ehitatud omavahel mitteseotud segmendid. Seejärel ühendati need võrgud ruuteritega üheks liitvõrguks (joonis 14.11).

Segmentide koostise muutmine (kasutaja üleminek teise võrku, suurte segmentide jagamine) selle lähenemisviisiga eeldab pistikute füüsilist uuesti ühendamist repiiterite esipaneelidel või ristpaneelidel, mis pole eriti mugav suured võrgud- palju füüsilist tööd, pealegi on vea tõenäosus suur.

Riis. 14.11. Repiiterite baasil ehitatud võrkudest koosnev liitvõrk

Virtuaalsete võrkude ühendamine ühiseks võrguks nõuab võrgukihi vahendite kaasamist. Seda saab realiseerida eraldi ruuteris või lüliti tarkvara osana, millest saab seejärel kombineeritud seade - nn kihi 3 lüliti.

Virtuaalvõrgu tehnoloogia pikka aega ei ole standardiseeritud, kuigi seda rakendati väga paljudes lülitite mudelites erinevad tootjad. See muutus IEEE 802.1Q standardi vastuvõtmisega 1998. aastal, mis määratleb põhireeglid ehitada virtuaalseid kohalikke võrke, mis ei sõltu lüliti toetatud lingikihi protokollist.

Virtuaalsete võrkude loomine ühe lüliti alusel

Ühel kommutaatoril põhinevate virtuaalvõrkude loomisel kasutatakse tavaliselt kommutaatori pordi rühmitamise mehhanismi (joon. 14.12). Lisaks on iga port määratud konkreetsele virtuaalsele võrgule. Portist, mis kuulub näiteks virtuaalvõrku 1, tuleva kaadrit ei edastata kunagi porti, mis sellesse virtuaalvõrku ei kuulu. Porti saab määrata mitmele virtuaalsele võrgule, kuigi praktikas tehakse seda harva - võrkude täieliku isoleerimise efekt kaob.

Virtuaalsete võrkude loomine portide rühmitamise teel ei nõua administraatorilt palju pingutusi ise tehtud- piisab, kui määrata iga port ühele mitmest eelnevalt nimetatud virtuaalsest võrgust. Tavaliselt tehakse seda toimingut lülitiga kaasas olnud spetsiaalse programmi abil.

Teine viis virtuaalsete võrkude moodustamiseks põhineb MAC-aadresside rühmitamisel. Iga lüliti õpitud MAC-aadress määratakse konkreetsele virtuaalsele võrgule. Kui võrgus on palju sõlmi, nõuab see meetod administraatorilt palju käsitsitööd. Mitmel kommutaatoril põhinevate virtuaalvõrkude ehitamisel on see aga paindlikum kui pordikanalid.

Riis. 14.12. Virtuaalsed võrgud, mis on ehitatud ühele lülitile

Looge mitmel lülitil põhinevaid virtuaalseid võrke

Joonis 14.13 illustreerib probleemi virtuaalsete võrkude loomisel, mis põhinevad mitmel kommutaatoril, mis toetavad pordikanalite tehnikat.

Riis. 14.13. Virtuaalsete võrkude loomine mitmele pordikanaliga lülitile

Kui mis tahes virtuaalse võrgu sõlmed on ühendatud erinevate lülititega, tuleb iga sellise võrgu ühendamiseks eraldada lülititele spetsiaalne pordipaar. Seega vajavad pordikanalite lülitid ühendamiseks nii palju porte, kuivõrd need toetavad VLAN-e. Porte ja kaableid kasutatakse sel juhul väga raiskavalt. Lisaks on ruuteri kaudu virtuaalvõrkude ühendamisel igale virtuaalsele võrgule eraldatud eraldi kaabel ja eraldi ruuteri port, mis tekitab samuti palju üldkulusid.

MAC-aadresside rühmitamine igas lülitis virtuaalsesse võrku välistab vajaduse siduda neid mitme pordi vahel, kuna MAC-aadressist saab siis virtuaalse võrgu silt. See meetod nõuab aga suur hulk käsitsi toimingud MAC-aadresside märgistamiseks igal võrgulülitil.

Need kaks kirjeldatud lähenemisviisi põhinevad ainult lisateabe lisamisel kommutaatori aadressitabelitesse ja neil ei ole võimalust sisestada edastatavasse kaadrisse teavet virtuaalse võrgu kaadri omandiõiguse kohta. Teiste lähenemisviiside korral kasutatakse kaadri olemasolevaid või lisavälju teabe salvestamiseks teatud virtuaalsesse kohtvõrku kuuluva kaadri kohta, kui see liigub võrgulülitite vahel. Sel juhul ei pea igas kommutaatoris meeles pidama, et kõik liitvõrgu MAC-aadressid kuuluvad virtuaalvõrkudesse.

Ethernet tutvustab täiendavat päist, mida nimetatakse VLAN-märgiks.

VLAN-i silt on Etherneti raamide jaoks valikuline. Kaadrit, millel on selline päis, nimetatakse märgistatud raamiks. Lülitid võivad samaaegselt töötada nii märgistatud kui ka märgistamata raamidega. VLAN-i sildi lisamise tõttu maksimaalne pikkus andmeväljad vähenesid 4 baiti.

Selleks, et LAN-seadmed saaksid märgistatud kaadreid eristada ja mõista, on nende jaoks kasutusele võetud spetsiaalne EtherType välja väärtus 0x8100. See väärtus näitab, et sellele järgneb TCI väli, mitte standardne andmeväli. Pange tähele, et märgistatud kaadris järgneb VLAN-i sildi väljadele teine EtherType'i väli, mis näitab kaadri andmevälja kantud protokolli tüüpi.

TCI väli sisaldab 12-bitise VLAN-i numbri (identifikaatori) välja, mida nimetatakse VID-ks. VID-välja laius võimaldab lülititel luua kuni 4096 virtuaalset võrku.

Kasutades märgistatud kaadrites VID-väärtust, teostavad võrgulülitid rühmaliikluse filtreerimist, jagades võrgu virtuaalseteks segmentideks, st VLAN-ideks. Selle režiimi toetamiseks määratakse iga lüliti port ühele või mitmele VLAN-ile, st teostatakse pordi rühmitamine.

Võrgu konfigureerimise lihtsustamiseks tutvustab 802.1Q standard juurdepääsuliini ja magistraalvõrgu mõisteid.

Pöördusliin ühendab kommutaatori pordi (antud juhul nimetatakse seda juurdepääsupordiks) arvutiga, mis kuulub mõnda VLAN-i.

Magistraal on sideliin, mis ühendab kahe kommutaatori pordid, magistraali kaudu edastatakse üldjuhul mitme virtuaalse võrgu liiklus.

Lähtevõrgus VLAN-i moodustamiseks tuleb esmalt valida sellele VID-väärtus, mis ei ole 1, ning seejärel lüliti konfiguratsioonikäskude abil määrata sellele võrgule need pordid, mille külge on ühendatud selles sisalduvad arvutid. Pöörduspordi saab määrata ainult ühele VLAN-ile.

Juurdepääsupordid võtavad vastu võrgu lõpp-punktidest märgistamata kaadreid ja märgistavad need VLAN-märgisega, mis sisaldab sellele pordile määratud VID-väärtust. Kui märgistatud kaadrid saadetakse lõppsõlme, eemaldab pääsuport VLAN-i sildi.

Lisateabe saamiseks visuaalne kirjeldus Läheme tagasi meie varasema võrgu näite juurde. Joonis fig. 14.15 näitab, kuidas lahendatakse serveritele valikulise juurdepääsu probleem VLAN tehnika alusel.

Riis. 14.15. Võrgu jagamine kaheks VLAN-iks

Selle probleemi lahendamiseks saate korraldada võrgus kaks virtuaalset kohtvõrku, VLAN2 ja VLAN3 (tuletage meelde, et VLAN1 on vaikimisi juba olemas - see on meie lähtevõrk), üks arvutite ja serverite komplekt on määratud VLAN2-le ja teine on määratud KVLAN3-le.

Konkreetsele VLAN-ile lõppsõlmede määramiseks reklaamitakse vastavaid porte selle võrgu juurdepääsuportidena, määrates neile vastava VID-i. Näiteks lüliti SW1 port 1 tuleks kuulutada VLAN2 juurdepääsupordiks, määrates sellele VID2, sama tuleks teha lüliti SW1 pordiga 5, lüliti SW1 pordiga 1 ja lüliti SW3 pordiga 1. Juurdepääsu pordid VLAN-id 3 peaks saama VID3 ID.

Meie võrgus peate korraldama ka magistraalid - need sideliinid, mis ühendavad lülitite porte. Pagasiruumiga ühendatud pordid ei lisa ega eemalda silte, vaid edastavad kaadreid nii, nagu need on. Meie näites peaksid need pordid olema lülitite SW1 ja SW2 pordid 6, samuti jaotuskilbi pordid 3 ja 4. Meie näite pordid peavad toetama VLAN2 ja VLAN3 (ja VLAN1, kui võrgus on hoste, mis pole ühelegi VLAN-ile otseselt määratud).

VLAN-tehnoloogiat toetavad lülitid pakuvad täiendavat liikluse filtreerimist. Juhul, kui kommutaatori edasisuunamistabel ütleb, et sissetulev kaader tuleb edastada teatud porti, kontrollib kommutaator enne edastamist, kas kaadri VL AN sildis olev VTD väärtus vastab sellele pordile määratud VLAN-ile. Sobivuse korral edastatakse kaader, kui see ei ühti, siis visatakse ära. Märgistamata kaadreid töödeldakse samal viisil, kuid kasutades tingimuslikku VLAN1. MAC-aadresse õpivad võrgulülitid eraldi, kuid iga VLAN.

VLAN-tehnika osutub serveritele juurdepääsu piiramiseks väga tõhusaks. Virtuaalse kohtvõrgu seadistamine ei nõua sõlmede MAC-aadresside tundmist, lisaks nõuab igasugune muudatus võrgus, näiteks arvuti ühendamine teise lülitiga, ainult selle lüliti pordi ja kõigi teiste võrgulülitite konfigureerimist. jätkata tööd ilma nende konfiguratsiooni muutmata.

Lisaks oma põhieesmärgile - suurendada ribalaiusühendused võrgus - lüliti võimaldab teil lokaliseerida teabevooge, samuti juhtida ja hallata neid vooge kohandatud filtrimehhanismi abil. Kasutajafilter suudab aga takistada kaadrite edastamist ainult kindlatele aadressidele, samas edastab see leviedastusliikluse kõikidesse võrgusegmentidesse. See on kommutaatoris rakendatud sillaalgoritmi tööpõhimõte, seetõttu nimetatakse sildade ja lülitite baasil loodud võrke mõnikord lamedaks - leviliikluse takistuste puudumise tõttu.

Paar aastat tagasi kasutusele võetud virtuaalsete kohtvõrkude tehnoloogia (Virtual LAN, VLAN) ületab selle piirangu. Virtuaalne võrk on võrgusõlmede rühm, mille liiklus, sealhulgas leviedastusliiklus, on täielikult isoleeritud andmesidekihi teistest sõlmedest (vt joonis 1). See tähendab, et kaadri otseülekanne erinevate virtuaalsete võrkude vahel ei ole võimalik, olenemata aadressi tüübist – unikaalne, multisaade või leviedastus. Samal ajal edastatakse virtuaalvõrgus kaadreid vastavalt kommutatsioonitehnoloogiale, st ainult sellele pordile, millele on määratud kaadri sihtaadress.

Virtuaalsed võrgud võivad kattuda, kui üks või mitu arvutit on kaasatud rohkem kui ühte virtuaalvõrku. Joonisel 1 on meiliserver osa virtuaalvõrkudest 3 ja 4 ning seetõttu saadetakse selle kaadrid lülitite kaudu kõikidesse arvutitesse, mis on nende võrkude liikmed. Kui arvuti on määratud ainult virtuaalsele võrgule 3, siis selle kaadrid ei jõua võrku 4, kuid see saab suhelda võrgus 4 olevate arvutitega läbi ühise meiliserver. See skeem ei isoleeri virtuaalseid võrke üksteisest täielikult – seega katab meiliserveri algatatud levitorm nii võrgu 3 kui ka võrgu 4.

Väidetavalt moodustab virtuaalne võrk edastusliikluse domeeni (broadcast domain) analoogselt põrkedomeeniga, mille moodustavad Etherneti võrkude repiiterid.

VLAN-ÜLESANDMINE

VLAN-tehnoloogia abil on lihtne luua eraldatud võrke, mis suhtlevad ruuterite kaudu, mis toetavad võrgukihi protokolli (nt IP). See lahendus loob palju võimsamad tõkked ekslikule liiklusele ühest võrgust teise. Tänapäeval arvatakse, et iga suur võrk peab sisaldama ruutereid, vastasel juhul "ujutavad" nende jaoks läbipaistvate lülitite kaudu vigaste kaadrite vood, eriti saated, selle perioodiliselt täielikult üle, mille tulemuseks on töövõimetus.

Virtuaalvõrgu tehnoloogia annab paindliku aluse suure ruuteritega ühendatud võrgu ehitamiseks, kuna kommutaatorid võimaldavad luua täielikult isoleeritud segmente programmiliselt ilma füüsilist ümberlülitamist kasutamata.

Enne VLAN-tehnoloogia tulekut kasutati ühte võrku kas füüsiliselt isoleeritud koaksiaalkaabli pikkuste või repiiteritel ja sildadel põhinevate ühendamata segmentidega. Seejärel ühendati võrgud ruuterite kaudu üheks liitvõrguks (vt joonis 2).

Segmentide koostise muutmine (kasutaja üleminek teise võrku, suurte sektsioonide jagamine) eeldas selle lähenemisviisi korral pistikute füüsilist uuesti ühendamist repiiterite esipaneelidel või ristpaneelides, mis pole eriti mugav suured võrgud See on väga aeganõudev töö ja vea tõenäosus on väga suur. Seetõttu hakati sõlmede füüsilise ümberlülitamise vajaduse kaotamiseks kasutama mitmesegmendilisi jaotureid, et jagatud segmendi koostist saaks ümber programmeerida ilma füüsilise ümberlülitamiseta.

Segmentide koostise muutmine jaoturite abil seab aga võrgustruktuurile suured piirangud - sellise repiiteri segmentide arv on tavaliselt väike ja igale sõlmele omaette eraldamine on ebareaalne, nagu seda saab teha lüliti abil. . Lisaks sellele langeb selle lähenemisviisi korral kogu segmentidevahelise andmeedastuse töö ruuterite ja nende lülitite kanda. suur jõudlus jäävad "ärist välja". Seega nõuavad konfiguratsiooniga ümberlülitusega repiiterivõrgud endiselt jagamine sidemeedia suur summa sõlmede ja seetõttu on neil palju madalam jõudlus võrreldes kommutaatoripõhiste võrkudega.

Virtuaalse võrgutehnoloogia kasutamisel kommutaatorites lahendatakse korraga kaks ülesannet:

jõudluse parandamine igas virtuaalvõrgus, kuna lüliti saadab kaadreid ainult sihthostile;
isoleerida võrgud üksteisest, et hallata kasutajate juurdepääsuõigusi ja luua kaitsetõkkeid levitormide eest.

Virtuaalsete võrkude konsolideerimine ühine võrk edasi sooritatud võrgukiht, millele pääseb juurde eraldi ruuteri või lüliti tarkvara abil. Viimasest saab sel juhul kombineeritud seade - nn kolmanda taseme lüliti.

Switchide abil virtuaalvõrkude moodustamise ja töötamise tehnoloogia pole pikka aega olnud standarditud, kuigi seda on rakendatud väga laias valikus erinevate tootjate lülitite mudelites. Olukord muutus pärast IEEE 802.1Q standardi vastuvõtmist 1998. aastal, mis määratleb põhireeglid virtuaalsete kohtvõrkude ehitamiseks, olenemata sellest, millist lingikihi protokolli lüliti toetab.

VLAN-standardi pikaajalise puudumise tõttu on iga suur ettevõte, mis toodab lüliteid, on välja töötanud oma virtuaalse võrgutehnoloogia ja reeglina ei ühildu teiste tootjate tehnoloogiatega. Seetõttu pole vaatamata standardi esilekerkimisele harvad juhud, kus ühe müüja lülitite alusel loodud virtuaalseid võrke ei tuvastata ja vastavalt sellele ei toetata ka teise müüja lülitid.

VLANI LOOMINE ÜHE LÜLITI ALUSEL

Ühel kommutaatoril põhinevate virtuaalvõrkude loomisel kasutatakse tavaliselt kommutaatori pordi rühmitamise mehhanismi (vt joonis 3). Pealegi on igaüks neist määratud ühte või teise virtuaalvõrku. Näiteks virtuaalvõrku 1 kuuluvast pordist saadud kaadrit ei edastata kunagi porti, mis ei ole selle osa. Porti saab määrata mitmele virtuaalsele võrgule, kuigi praktikas tehakse seda harva – võrkude täieliku isoleerimise efekt kaob.

Portide rühmitamine samal lülitil on VLAN-i moodustamiseks kõige loogilisem viis, kuna in sel juhul virtuaalseid võrke ei saa olla rohkem kui porte. Kui repiiter on ühendatud mõne pordiga, pole mõtet vastava segmendi sõlmede kaasamine erinevatesse virtuaalvõrkudesse - nende liiklus on siiski ühine.

Selline lähenemine ei nõua administraatorilt suurt käsitsitööd – piisab iga pordi määramisest ühele mitmest eelnevalt nimetatud virtuaalsest võrgust. Seda toimingut tehakse tavaliselt koos eriprogramm kaasas lülitiga. Administraator loob virtuaalsed võrgud, pukseerides pordiikoone graafilised sümbolid võrgud.

Teine võimalus virtuaalvõrkude moodustamiseks põhineb MAC-aadresside rühmitamisel. Iga lülitile teadaolev MAC-aadress on määratud ühele või teisele virtuaalsele võrgule. Kui võrgul on palju sõlme, peab administraator tegema palju käsitsi toiminguid. Mitmel kommutaatoril põhinevate virtuaalvõrkude ehitamisel on see meetod aga paindlikum kui portide rühmitamine.

MITME LÜLITI PÕHINEV VLANI LOOMINE

Joonis 4 illustreerib olukorda, mis tekib virtuaalsete võrkude loomisel mitmel kommutaatoril pordikanalite kaudu. Kui mõne virtuaalse võrgu sõlmed on ühendatud erinevate lülititega, siis tuleb iga sellise võrgu kommutaatorite ühendamiseks eraldada eraldi pordipaar. Vastasel juhul kaob lülitist kommutaatorile edastamise ajal teave konkreetsesse virtuaalvõrku kuuluva kaadri kohta. Seega nõuab pordikanalite meetod lülitite ühendamiseks nii palju porte, kuivõrd need toetavad VLAN-e, mille tulemuseks on portide ja kaablite väga raiskav kasutamine. Lisaks vajab ruuteri kaudu virtuaalsete võrkude interaktsiooni korraldamiseks iga võrk eraldi kaablit ja eraldi ruuteri porti, mis toob kaasa ka suured üldkulud.

MAC-aadresside rühmitamine virtuaalsesse võrku igal kommutaatoril välistab vajaduse ühendada need läbi mitme pordi, sest sel juhul on virtuaalse võrgu sildiks MAC-aadress. See meetod nõuab aga palju käsitsi MAC-aadresside märgistamist võrgu igas lülitis.

Kaks kirjeldatud lähenemist põhinevad ainult teabe lisamisel silla aadressitabelitesse ega sisalda edastatavasse kaadrisse teavet virtuaalvõrku kuuluva kaadri kohta. Teised lähenemised kasutavad olemasolevaid või täiendavad väljad kaader, et salvestada teavet kaadri omandiõiguse kohta, kui see liigub võrgulülitite vahel. Lisaks ei pea igal kommutaatoril meeles pidama, millistesse virtuaalvõrkudesse võrgu MAC-aadressid kuuluvad.

Virtuaalse võrgu numbriga lisavälja kasutatakse ainult siis, kui kaadrit saadetakse lülitist lülitisse, ja tavaliselt eemaldatakse see siis, kui kaader saadetakse lõppsõlme. Samal ajal muudetakse "lüliti-lüliti" interaktsiooniprotokolli, samas kui lõppsõlmede tarkvara ja riistvara jäävad muutumatuks. Selliste patenteeritud protokollide näiteid on palju, kuid neil on üks ühine puudus – teised tootjad neid ei toeta. Cisco on pakkunud välja 802.10 protokolli päise standardse lisandina mis tahes LAN-protokolli raamidele, mille eesmärk on toetada turvafunktsioone. arvutivõrgud. Ettevõte ise viitab sellele meetodile juhtudel, kui lülitid on omavahel ühendatud FDDI protokolli abil. Seda algatust aga ei toetanud teised juhtivad lülitite tootjad.

Virtuaalse võrgu numbri salvestamiseks IEEE standard 802.1Q-l on täiendav kahebaidine päis, mida jagatakse 802.1p-ga. Lisaks kolmele kaadri prioriteedi väärtuse salvestamise bitile, nagu on kirjeldatud 802.1p standardis, kasutatakse selles päises 12 bitti selle virtuaalse võrgu numbri salvestamiseks, kuhu kaader kuulub. See Lisainformatsioon mida nimetatakse virtuaalse võrgusildiks (VLAN TAG) ja see võimaldab erinevate tootjate kommutaatoritel luua kuni 4096 jagatud virtuaalvõrku. Sellist raami nimetatakse "märgistatud". Märgitud Etherneti kaadri pikkust suurendatakse 4 baiti, kuna lisaks sildi enda kahele baidile lisandub veel kaks baiti. Märgistatud Etherneti kaadri struktuur on näidatud joonisel 5. 802.1p/Q päise lisamisel vähendatakse andmevälja kahe baidi võrra.

Joonis 5. Märgistatud Etherneti raami struktuur.

Standardi 802.1Q tulek võimaldas ületada erinevusi patenteeritud VLAN-i rakendustes ja saavutada ühilduvus virtuaalsete kohtvõrkude ehitamisel. VLAN-tehnikat toetavad nii lülitite kui ka võrgukaartide tootjad. Viimasel juhul saab võrguadapter märgistatud genereerida ja vastu võtta Etherneti raamid, mis sisaldab välja VLAN TAG. Kui võrguadapter genereerib märgistatud kaadreid, siis seda tehes teeb ta kindlaks, kas need kuuluvad ühte või teise virtuaalsesse kohtvõrku, seega peab switch neid vastavalt töötlema, s.t väljundporti edastama või mitte edastama, olenevalt pordi kuuluvusest. Võrguadapteri draiver hangib oma VLAN-i numbri (või oma numbri) võrguadministraatorilt (käsitsi seadistades) või mõnest hostis töötavast rakendusest. Selline rakendus on võimeline töötama tsentraalselt ühes võrguserveris ja hallata kogu võrgu struktuuri.

Toetab VLAN Võrguadapterid staatilisest konfiguratsioonist saate mööda minna, määrates pordi konkreetsele virtuaalsele võrgule. Staatiline VLAN-i konfiguratsioonimeetod on aga endiselt populaarne, kuna see võimaldab teil luua struktureeritud võrgu ilma lõppsõlme tarkvara kaasamata.

Natalja Olifer on ajakirja Journal of Network Solutions/LAN kolumnist. Temaga saab ühendust võtta aadressil:

Lisaks oma põhieesmärgile - võrgu ühenduste läbilaskevõime suurendamisele - võimaldab lüliti lokaliseerida teabevooge, samuti juhtida ja hallata neid vooge kohandatud filtrimehhanismi abil. Kasutajafilter suudab aga takistada kaadrite edastamist ainult kindlatele aadressidele, samas edastab see leviedastusliikluse kõikidesse võrgusegmentidesse. See on kommutaatoris rakendatud sillaalgoritmi tööpõhimõte, seetõttu nimetatakse sildade ja lülitite baasil loodud võrke mõnikord lamedaks - leviliikluse takistuste puudumise tõttu.

Virtuaalsed võrgud võivad kattuda, kui üks või mitu arvutit on kaasatud rohkem kui ühte virtuaalvõrku. Joonisel 1 on meiliserver osa virtuaalvõrkudest 3 ja 4 ning seetõttu saadetakse selle kaadrid lülitite kaudu kõikidesse arvutitesse, mis on nende võrkude liikmed. Kui arvuti on määratud ainult virtuaalsele võrgule 3, siis selle kaadrid ei jõua võrku 4, kuid ta saab suhelda võrgu 4 arvutitega läbi ühise meiliserveri. See skeem ei eralda virtuaalseid võrke üksteisest täielikult – seega katab meiliserveri algatatud levitorm nii võrgu 3 kui ka võrgu 4.

Väidetavalt moodustab virtuaalne võrk edastusliikluse domeeni (broadcast domain) analoogselt põrkedomeeniga, mille moodustavad Etherneti võrkude repiiterid.

VLAN-ÜLESANDMINE

Virtuaalvõrgu tehnoloogia annab paindliku aluse suure ruuteritega ühendatud võrgu ehitamiseks, kuna kommutaatorid võimaldavad luua programmiliselt täiesti isoleeritud segmente ilma füüsilist ümberlülitamist kasutamata.

Segmentide koostise muutmine (kasutaja üleminek teise võrku, suurte sektsioonide jagamine) eeldas selle lähenemisviisi abil pistikute füüsilist uuesti ühendamist repiiterite esipaneelidel või ristpaneelides, mis pole suurtes võrkudes eriti mugav - see on väga töömahukas töö , ja vea tõenäosus on väga suur. Seetõttu hakati sõlmede füüsilise ümberlülitamise vajaduse kaotamiseks kasutama mitmesegmendilisi jaotureid, et jagatud segmendi koostist saaks ümber programmeerida ilma füüsilise ümberlülitamiseta.

Segmentide koostise muutmine jaoturite abil seab aga võrgustruktuurile suured piirangud - sellise repiiteri segmentide arv on tavaliselt väike ja igale sõlmele omaette eraldamine on ebareaalne, nagu seda saab teha lüliti abil. . Lisaks langeb selle lähenemisviisi korral kogu segmentidevahelise andmete edastamise töö ruuterite kanda ja suure jõudlusega lülitid jäävad "tööta". Seega jagavad konfiguratsiooniga ümberlülitatud repiiteripõhised võrgud meediat endiselt suure hulga sõlmedega ja seetõttu on nende jõudlus võrreldes kommutaatoripõhiste võrkudega palju väiksem.

Virtuaalse võrgutehnoloogia kasutamisel kommutaatorites lahendatakse korraga kaks ülesannet:

jõudluse parandamine igas virtuaalvõrgus, kuna lüliti saadab kaadreid ainult sihthostile;
isoleerida võrgud üksteisest, et hallata kasutajate juurdepääsuõigusi ja luua kaitsetõkkeid levitormide eest.

Virtuaalsete võrkude ühendamine ühiseks võrguks toimub võrgu tasandil, millele üleminek on võimalik eraldi ruuteri või kommutaatori tarkvara abil. Viimasest saab sel juhul kombineeritud seade - nn kolmanda taseme lüliti.

VLAN-standardi pikaajalise puudumise tõttu on iga suurem kommutaatoriettevõte välja töötanud oma virtuaalse võrgutehnoloogia ja reeglina ei ühildu see teiste tootjate tehnoloogiatega. Seetõttu pole vaatamata standardi esilekerkimisele harvad juhud, kus ühe müüja lülitite alusel loodud virtuaalseid võrke ei tuvastata ja vastavalt sellele ei toetata ka teise müüja lülitid.

VLANI LOOMINE ÜHE LÜLITI ALUSEL

Ühe kommutaatori portide rühmitamine on VLAN-i moodustamiseks kõige loogilisem viis, kuna sel juhul ei saa olla rohkem virtuaalseid võrke kui porte. Kui repiiter on ühendatud mõne pordiga, pole mõtet vastava segmendi sõlmede kaasamine erinevatesse virtuaalvõrkudesse - nende liiklus on siiski ühine.

Selline lähenemine ei nõua administraatorilt suurt käsitsitööd – piisab iga pordi määramisest ühele mitmest eelnevalt nimetatud virtuaalsest võrgust. Tavaliselt tehakse seda toimingut lülitiga kaasas olnud spetsiaalse programmi abil. Administraator loob virtuaalsed võrgud, lohistades pordiikoonid võrguikoonidele.

MITME LÜLITI PÕHINEV VLANI LOOMINE

Kaks kirjeldatud lähenemist põhinevad ainult teabe lisamisel silla aadressitabelitesse ega sisalda edastatavasse kaadrisse teavet virtuaalvõrku kuuluva kaadri kohta. Teised lähenemisviisid kasutavad kaadri olemasolevaid või täiendavaid välju, et salvestada teavet kaadri omandiõiguse kohta, kui see liigub võrgulülitite vahel. Lisaks ei pea igal kommutaatoril meeles pidama, millistesse virtuaalvõrkudesse võrgu MAC-aadressid kuuluvad.

Virtuaalse võrgu numbriga lisavälja kasutatakse ainult siis, kui kaadrit saadetakse lülitist lülitisse, ja tavaliselt eemaldatakse see siis, kui kaader saadetakse lõppsõlme. Samal ajal muudetakse "lüliti-lüliti" interaktsiooniprotokolli, samas kui lõppsõlmede tarkvara ja riistvara jäävad muutumatuks. Selliste patenteeritud protokollide näiteid on palju, kuid neil on üks ühine puudus – teised tootjad neid ei toeta. Cisco on pakkunud välja 802.10 protokolli päise kui standardse täienduse mis tahes LAN-protokolli raamidesse, mille eesmärk on toetada arvutivõrkude turvaelemente. Ettevõte ise viitab sellele meetodile juhtudel, kui lülitid on omavahel ühendatud FDDI protokolli abil. Seda algatust aga ei toetanud teised juhtivad lülitite tootjad.

Virtuaalse võrgunumbri salvestamiseks pakub IEEE 802.1Q standard täiendavat kahebaidist päist, mida kasutatakse koos 802.1p protokolliga. Lisaks kolmele kaadri prioriteedi väärtuse salvestamise bitile, nagu on kirjeldatud 802.1p standardis, kasutatakse selles päises 12 bitti selle virtuaalse võrgu numbri salvestamiseks, kuhu kaader kuulub. Seda lisateavet nimetatakse virtuaalse võrgusildiks (VLAN TAG) ja see võimaldab erinevate tootjate lülititel luua kuni 4096 jagatud virtuaalvõrku. Sellist raami nimetatakse "märgistatud". Märgitud Etherneti kaadri pikkust suurendatakse 4 baiti, kuna lisaks sildi enda kahele baidile lisandub veel kaks baiti. Märgistatud Etherneti kaadri struktuur on näidatud joonisel 5. 802.1p/Q päise lisamisel vähendatakse andmevälja kahe baidi võrra.

Joonis 5. Märgistatud Etherneti raami struktuur.

Standardi 802.1Q tulek võimaldas ületada erinevusi patenteeritud VLAN-i rakendustes ja saavutada ühilduvus virtuaalsete kohtvõrkude ehitamisel. VLAN-tehnikat toetavad nii lülitite kui ka võrgukaartide tootjad. Viimasel juhul saab võrgukaart genereerida ja vastu võtta VLAN TAG-i välja sisaldavaid märgistatud Etherneti kaadreid. Kui võrguadapter genereerib märgistatud kaadreid, siis seda tehes teeb ta kindlaks, kas need kuuluvad ühte või teise virtuaalsesse kohtvõrku, seega peab switch neid vastavalt töötlema, s.t väljundporti edastama või mitte edastama, olenevalt pordi kuuluvusest. Võrguadapteri draiver hangib oma VLAN-i numbri (või oma numbri) võrguadministraatorilt (käsitsi seadistades) või mõnest hostis töötavast rakendusest. Selline rakendus on võimeline töötama tsentraalselt ühes võrguserveris ja hallata kogu võrgu struktuuri.

Toetavad VLAN-võrk adapterid saavad vältida staatilist konfigureerimist, määrates pordi konkreetsele virtuaalsele võrgule. Staatiline VLAN-i konfiguratsioonimeetod on aga endiselt populaarne, kuna see võimaldab teil luua struktureeritud võrgu ilma lõppsõlme tarkvara kaasamata.

Natalja Olifer on ajakirja Journal of Network Solutions/LAN kolumnist. Temaga saab ühendust võtta aadressil:

Aastast aastasse elektrooniline side täiustatakse ja teabevahetus rohkem ja rohkem kõrged nõuded andmetöötluse kiirus, turvalisus ja kvaliteet.

Ja siin vaatame lähemalt vpn-ühendust: mis see on, milleks see on vpn tunnel ja kuidas kasutada vpn-ühendus.

See materjal on omamoodi sissejuhatav sõna artiklite sarjale, kus räägime teile, kuidas luua VPN-i erinevates operatsioonisüsteemides.

vpn-ühendus mis see on?

Nii virtuaalne privaatvõrk vpn on tehnoloogia, mis pakub turvalist (suletud alates väline juurdepääs) ühendus loogiline võrk era- või avaliku kaudu kiire Interneti olemasolul.

Sellised võrguühendus arvutid (geograafiliselt üksteisest märkimisväärsel kaugusel) kasutavad punkt-punkti ühendust (teisisõnu "arvuti-arvuti").

Teaduslikult nimetatakse seda ühendusmeetodit vpn-tunneliks (või tunneliprotokolliks). Sellise tunneliga saate ühenduse luua, kui teil on mis tahes arvuti operatsioonisüsteem, mis integreerib VPN-kliendi, mis saab virtuaalseid porte TCP / IP-protokolli kasutades teise võrku "edasida".

Mille jaoks on VPN?

Peamine vpn eelis on see, et kooskõlastajad vajavad ühenduvusplatvormi, mis mitte ainult ei skaleeri kiiresti, vaid tagab ka (peamiselt) andmete konfidentsiaalsuse, andmete terviklikkuse ja autentimise.

Diagramm näitab selgelt vpn-võrkude kasutamist.

Eelnevalt tuleb serverisse ja ruuterisse kirja panna turvalise kanali ühenduste reeglid.

kuidas vpn töötab

Kui VPN-ühendus tekib, edastatakse sõnumi päises teave VPN-serveri IP-aadressi ja kaugmarsruudi kohta.

Avaliku või avaliku võrgu kaudu edastatavaid kapseldatud andmeid ei saa pealt kuulata, kuna kogu teave on krüpteeritud.

VPN-i krüpteerimise etapp on realiseeritud saatja poolel ja saaja andmed dekrüpteeritakse sõnumi päise abil (kui on olemas ühine krüpteerimisvõti).

Pärast õige dekodeerimine sõnumeid kahe võrgu vahel luuakse vpn-ühendus, mis võimaldab töötada ka avalikus võrgus (näiteks vahetada andmeid kliendiga 93.88.190.5).

Mis puudutab infoturbe, siis on Internet väga ebaturvaline võrk ja VPN-iga OpenVPN-i protokollid, L2TP /IPSec ,PPTP, PPPoE - täiesti turvaline ja ohutul viisil andmeedastus.

Mille jaoks on VPN-kanal?

Kasutatakse vpn tunnelit:

Sees ettevõtte võrk;

Kaugkontorite, aga ka väikeste filiaalide ühendamiseks;

Digitaaltelefoni teenindamiseks laia valiku telekommunikatsiooniteenustega;

Juurdepääs välistele IT-ressurssidele;

Videokonverentsi loomiseks ja rakendamiseks.

Miks sa vpn-i vajad?

vpn-ühendus on vajalik:

Anonüümne töö Internetis;

Rakenduse allalaadimine juhul, kui IP-aadress asub mõnes muus riigi piirkondlikus tsoonis;

Ohutu töö ärikeskkonnas kasutades sidet;

Ühenduse seadistamise lihtsus ja mugavus;

Tagatis suur kiirusühendused ilma katkestusteta;

Turvalise kanali loomine ilma häkkerite rünnakuteta.

Kuidas vpn-i kasutada?

Näiteid VPN-i toimimisest on lõputult. Niisiis, mis tahes arvutis ettevõtte võrgus, kui installite turvalise vpn ühendused saate kasutada e-posti sõnumite kontrollimiseks, materjalide avaldamiseks kõikjal riigis või failide allalaadimiseks torrentivõrkudest.

Vpn: mis see telefonis on?

Juurdepääs telefoni vpn-i kaudu (iPhone või mõni muu Android-seade) võimaldab kasutada Internetti avalikes kohtades säilitada anonüümsus ning vältida liikluse pealtkuulamist ja seadmete häkkimist.

Mis tahes OS-i installitud VPN-klient võimaldab teil paljudest pakkuja seadetest ja reeglitest mööda minna (kui ta on piiranguid seadnud).

Millist VPN-i telefoni jaoks valida?

Androidi mobiiltelefonid ja nutitelefonid saavad kasutada Google Play turu rakendusi:

- vpnRoot, droidVPN,
- tor brauser surfamisvõrkude jaoks ehk orbot
- InBrowser, orfox (firefox+tor),
- SuperVPN tasuta VPN-klient
- Avage VPN Connect
- Tunnel Bear VPN
- Hidemani VPN

Enamik neist programmidest on mõeldud "kuuma" süsteemi konfigureerimiseks, käivitamise otseteede paigutamiseks, anonüümne surfamine Internet, valige ühenduse krüptimise tüüp.

Kuid peamised ülesanded VPN-i kasutamine telefonis on tšekk ettevõtte post, mitme osalejaga videokonverentside loomine, aga ka koosolekute pidamine väljaspool organisatsiooni (näiteks kui töötaja on töölähetuses).

Mis on vpn iPhone'is?

Mõelge üksikasjalikumalt, millist VPN-i valida ja kuidas seda iPhone'iga ühendada.

Olenevalt toetatud võrgu tüübist saate iphone'is VPN-i konfigureerimise esmakordsel käivitamisel valida järgmised protokollid: L2TP, PPTP ja Cisco IPSec (lisaks saate vpn-ühenduse luua kolmanda osapoole rakenduste abil).

Kõik need protokollid toetavad krüpteerimisvõtmeid, kasutaja tuvastamist parooliga ja sertifitseerimist.

hulgas lisafunktsioone iPhone'is VPN-profiili seadistamisel võite märkida: RSA-turvalisus, krüptimistase ja serveriga ühenduse loomise autoriseerimisreeglid.

Sest iphone telefon Appstore'ist peaksite valima:

- tasuta rakendus Tunnelbear, millega saate ühenduse luua VPN-serveridükskõik mis riik.
- OpenVPN connect on üks parimaid VPN-i kliente. Siin peate rakenduse käivitamiseks esmalt rsa-võtmed iTunesi kaudu oma telefoni importima.
- Cloak on shareware rakendus, sest mõnda aega saab toodet "kasutada" tasuta, kuid programmi kasutamiseks pärast demoperioodi lõppu tuleb see osta.

VPN-i loomine: seadmete valimine ja konfigureerimine

Sest korporatiivne suhtlus V suured organisatsioonid või ühendused kauge sõber kontorid kasutavad riistvara, mis on võimeline toetama katkematut turvalist võrguühendust.

VPN-tehnoloogiate rakendamiseks võivad võrgulüüsina toimida: Unixi serverid, windowsi server, võrgu ruuter Ja võrgu lüüs millele VPN tõstetakse.

Loomiseks kasutatud server või seade vpn võrgud ettevõtted või kanal vpn kaugkontorite vahel, peab täitma keerukaid tehnilised ülesanded ja pakkuda täielikku valikut teenuseid kasutajatele nii tööjaamades kui ka mobiilseadmetes.

Iga ruuter või vpn-ruuter peab seda pakkuma usaldusväärne töö võrgus ilma "külmumiseta". Ja sisseehitatud vpn-funktsioon võimaldab teil muuta võrgu konfiguratsiooni kodus, organisatsioonis või kaugkontoris töötamiseks.

vpn seadistamine ruuteris

Üldiselt vpn seadistamine ruuteris toimub ruuteri veebiliidese abil. "Klassikalistes" seadmetes vpn organisatsioonid peate minema jaotisse "Seaded" või "Võrgusätted", kus valite VPN-i jaotise, määrate protokolli tüübi, sisestate oma alamvõrgu aadressi seaded, maskid ja määrate kasutajate IP-aadresside vahemiku.

Lisaks peate ühenduse turvalisuse huvides määrama kodeerimisalgoritmid, autentimismeetodid, genereerima läbirääkimisvõtmed ja määrama DNS-serverid VÕIDUD. Parameetrites "Lüüs" peate määrama lüüsi (teie IP) IP-aadressi ja täitma andmed kõigi võrguadapterite kohta.

Kui võrgus on mitu ruuterit, tuleb VPN-tunnelis kõigi seadmete kohta täita vpn-marsruutimistabel.

Siin on nimekiri riistvara varustus kasutatakse VPN-võrkude ehitamisel:

Dlink ruuterid: DIR-320, DIR-620, DSR-1000 uue püsivaraga või D-Link ruuter DI808HV.

Ruuterid Cisco PIX 501, Cisco 871-SEC-K9

Linksys Rv082 ruuter, mis toetab umbes 50 VPN-tunnelit

Netgeari ruuter DG834G ja ruuteri mudelid FVS318G, FVS318N, FVS336G, SRX5308

Mikrotik ruuter OpenVPN funktsiooniga. Näidis RouterBoard RB/2011L-IN Mikrotik

VPN-seadmed RVPN S-Terra või VPN Gate

ASUS RT-N66U, RT-N16 ja RT N-10 ruuterid

ZyXel ruuterid ZyWALL 5, ZyWALL P1, ZyWALL USG