۳/ اتصال کامپیوترها روی یک اینترانت
در بعضی از شبکه بندی های سازمانی، ممکن است داده های بخشی از سازمان خیلی حساس بوده و LAN آن بخش از سازمان به بقیه شبکه سازمان متصل نباشد. اگرچه این امر داده های محرمانه سازمان را محافظت می کند اما برای استفاده کنندگانی که به طور فیزیکی به LAN جداگانه ای متصل نیستند در مورد دسترسی به اطلاعات مشکلاتی پیش می آید.
VPN ها به LAN دپارتمان اجازه می دهند تا به صورت فیزیکی به شبکه داخلی سازمان متصل باشند اما توسط یک سرور VPN از شبکه تفکیک شوند. سرور VPN به عنوان یک مسیریاب بین شبکه داخلی سازمان و LAN دپارتمان عمل نمی کند. یک مسیریاب که دو شبکه را بهم وصل می کند، به همه اجازه می دهد تا به LAN حساس دسترسى پیدا کنند. با استفاده از یک سرور VPN ، مدیر شبکه می تواند مطمئن باشد که روى شبکه داخلی سازمان فقط آن استفادهکنندگان که اعتبارنامه مناسب را دارند (مبنى بر سیاست سازمان) می توانند یک ارتباط VPN با سرور VPN برقرار بکند و به منابع حفاظتشده دپارتمان دستیابى پیدا کنند. علاوه بر این تمام ارتباطات از میان VPN می تواند براى حفاظت دادهها رمزنگاری شود. آن تعداد از استفادهکنندگان که اعتبار مناسب نداشته باشند، نمی توانند به LAN دپارتمان دسترسی داشته باشند.
نیازمندی های اساسی VPN
معمولا، هنگام مستقر کردن یک راهحل شبکهسازى راه دور، یک شرکت نیاز دارد دسترسی کنترل شده به منابع سازمان و اطلاعات را تسهیل کند. راهحل باید اجازه بدهدکلاینت های دور به LANمنابع وصل شوند. همچنین باید اجازه دهد دفاتر دور به همدیگر متصل شده و منابع و اطلاعات را با هم به اشتراک بگذارند. به علاوه، راهحل باید از اختفا و درستی داده ها با گذر از اینترنت مطمئن باشد. همان نگرانیها در مورد موضوع انتقال داده های حساس در طول شبکه داخلی سازمان نیز وجود دارد.
بنابراین یک VPN باید حداقل تمام موارد زیر را تامین کند:
شناسایى کاربر
راهحل باید صحت هویت کلاینت VPN را بررسی کرده و دسترسی به VPN را به کاربران مجاز محدود کند. همچنین باید اسناد بازبینی و حسابدارى را برای نشان دادن اینکه چه کسانی و برای چه مدتی متصل هستند فراهم کند.
مدیریت آدرس
راهحل باید به یک کلاینت شبکه خصوصى مجازى یک آدرس روی اینترانت اختصاص دهد وتضمین کند آدرس هایی که روى اینترانت استفاده می شوند، به صورت اختصاصی محفوظ هستند.
رمزگذارى داده
دادههایی که روی شبکه های عمومی حمل می شوند باید به صورت غیرقابل خواندن تغییر شکل یابند.
مدیریت کلید
راهحل باید براى دادههاى رمزنگاری شده کلید های رمزگذاری تولید و بازیابی کند.
یک VPN مبتنى بر پروتکل PPTP یا پروتکل یا L2TP/IPSec تمام این نیازمندی ها را برطرف می کند و از قابلیت های مفید اینترنت استفاده می کند. راهحلهاى دیگر، مانند حالت تونلى IPSec، فقط بعضى از این ملزومات را برطرف می کنند اما در موقعیت های مختلف سودمند خواهند بود.
مبانی Tunneling
یک روش استفاده از زیرساختار یک شبکه برای انتقال دادههاى یک شبکه روى شبکه دیگر است. دادهای که باید انتقالیابد (payload) می تواند فریم ( یا packet) یا پروتکل های دیگر باشد. به جاى فرستادن یک فریم که توسط نود آغازی ایجاد شده پروتکل tunneling فریم را با یک هدر اضافی کپسوله می کند. هدر اضافی اطلاعات مسیریابی را فراهم می کند به طوریکه داده کپسوله شده بتواند روی شبکه میانی منتقل شود.
سپس بستههاى کپسوله شده بین نقاط پایانی تونل روی شبکه مسیریابی می شوند. مسیر منطقى که بستههاى کپسوله شده توسط آن روی شبکه منتقل می شوند تونل (tunnel) نامیده می شود. وقتى که فریم های کپسوله شده به مقصدشان روى شبکه می رسند، از حالت کپسوله خارج شده و به سوی مقصد نهاییشان فرستاده می شوند. Tunneling تمام این موارد را در بر می گیرد (کپسوله کردن بسته ها، انتقال آنها و از حالت کپسوله درآوردن آنها).
شبکه انتقالی می تواند هر شبکه ای باشد. اینترنت یک شبکه عمومى است و شناختهشدهترین مثال در این مورد می باشد. مثال های زیادی از تونلهایی که عمل انتقال را روی شبکه سازمان انجام می دهند وجود دارد.
تکنولوژى هاى Tunneling مدت زمانی است که بوجود آمده اند، از قبیل SNA روی شبکه های IP. زمانیکه ترافیک ۱۰SNA روی شبکه ی IP یک سازمان فرستاده می شود فریم های SNA در هدر UDP و IP کپسوله می شوند. تکنولوژیهاى tunneling جدیدی در سالهاى اخیر معرفی شده اند. این تکنولوژیهاى جدید شامل موارد زیر هستند:
Point-to-Point Tunneling Protocol (PPTP): PPTP اجازه می دهد تا ترافیک چند پروتکلی، رمزنگاری شده و سپس در یک هدر IP برای فرستادن روی شبکه IP سازمان یا شبکه IP عمومی مانند اینترنت کپسوله شود.
Layer Two Tunneling Protocol (L2TP): L2TP اجازه می دهد تا ترافیک چند پروتکلی، رمزنگاری شده و روی هر واسطی که تحویل دیتاگرام نقطه به نقطه (point-to-point) را ساپورت می کند فرستاده شود.
IPSec tunnel mode: حالت تونلى IPSec به بستههاى IP اجازه میدهد رمزنگاری شده و سپس برای فرستادن روی شبکه IP یک سازمان یا روی شبکه IP عمومی مثل اینترنت کپسوله شوند. حالت تونلى IPSec برای اتصال VPN راه دور توصیه نمی شود زیرا روش های استانداردی برای اهراز هویت کاربر،تخصیص آدرس IP و تخصیص آدرس سرور نام (name server) ندارد. البته استفاده از حالت تونلى IPSec برای اتصالات site-to-site مربوط به VPN با کامپیوتر هایی که از ویندوز سرور۲۰۰۳ استفاده می کنند امکان پذیر است.
خرید آسان و آسوده
سایت های مورد نیاز شما
اگر نیاز به اطلاعات مختلفی دارید به سایتهای زیر رجوع کنید.
۱۳۸۷ خرداد ۱۲, یکشنبه
اشتراک در:
نظرات پیام (Atom)
هیچ نظری موجود نیست:
ارسال یک نظر