تبیان، دستیار زندگی
 در طی ده سال گذشته دنیا دستخوش تحولات فراوانی در عرصه ارتباطات بوده است . اغلب سازمانها و موسسات ارائه دهنده كالا و خدمات كه در گذشته بسیار محدود و منطقه ای مسائل را دنبال و در صدد ارائه راهكارهای مربوطه بودند ، امروزه بیش...
بازدید :
زمان تقریبی مطالعه :

شبكه های خصوصی مجازی

در طی ده سال گذشته دنیا دستخوش تحولات فراوانی در عرصه ارتباطات بوده است . اغلب سازمانها و موسسات ارائه دهنده كالا و خدمات كه در گذشته بسیار محدود و منطقه ای مسائل را دنبال و در صدد ارائه راهكارهای مربوطه بودند ، امروزه بیش از گذشته نیازمند تفكر در محدوده جهانی برای ارائه خدمات و كالای تولیده شده را دارند. به عبارت دیگر تفكرات منطقه ای و محلی حاكم  بر فعالیت های تجاری جای خود را به تفكرات جهانی و سراسری داده اند. امروزه  با سازمانهای زیادی برخورد می نمائیم كه در سطح یك كشور دارای دفاتر فعال و حتی در سطح دنیا دارای دفاتر متفاوتی می باشند . تمام سازمانهای فوق قبل از هر چیز بدنبال  یك اصل بسیار مهم می باشند : یك روش سریع ، ایمن و قابل اعتماد بمنظور برقراری ارتباط با دفاتر و نمایندگی در اقصی نقاط یك كشور و یا در سطح دنیا

اكثر سازمانها و موسسات بمنظور ایجاد یك شبكهWAN از خطوط اختصاصی(Leased Line) استفاده می نمایند.خطوط فوق دارای انواع متفاوتی می باشند.ISDN ( با سرعت 128 كیلوبیت در ثانیه )،(OC3Optical Carrier-3) ( با سرعت 155 مگابیت در ثانیه ) دامنه وسیع خطوط اختصاصی را نشان می دهد. یك شبكهWAN دارای مزایای عمده ای نسبت به یك شبكه عمومی نظیر اینترنت از بعد امنیت وكارآئی است . پشتیانی و نگهداری یك شبكهWAN در عمل و زمانیكه از خطوط اختصاصی استفاده می گردد ، مستلزم صرف هزینه بالائی است

همزمان با عمومیت یافتن اینترنت ، اغلب سازمانها و موسسات  ضرورت توسعه شبكه اختصاصی خود را بدرستی احساس كردند. در ابتدا شبكه های اینترانت مطرح گردیدند.این نوع شبكه بصورت كاملا" اختصاصی بوده و كارمندان یك سازمان با استفاده از رمز عبور تعریف شده ، قادر به ورود به شبكه و استفاده از منابع موجود می باشند. اخیرا" ، تعداد زیادی از موسسات و سازمانها با توجه به مطرح شدن خواسته های جدید ( كارمندان از راه دور ، ادارات از راه دور )، اقدام  به ایجاد شبكه های اختصاصی مجازیVPN)Virtual Private Network) نموده اند.

یكVPN ، شبكه ای اختصاصی بوده كه از یك شبكه عمومی ( عموما" اینترنت ) ، برای ارتباط با سایت های از راه دور و ارتباط كاربران بایكدیگر، استفاده می نماید. این نوع شبكه ها در عوض استفاده از خطوط واقعی نظیر : خطوطLeased ، از یك ارتباط مجازی بكمك اینترنت برای شبكه اختصاصی بمنظور ارتباط به سایت ها  استفاده می كند.

عناصر تشكیل دهنده یكVPN

دو نوع عمده  شبكه هایVPN وجود دارد :

* دستیابی از راه دور(Remote-Access) . به این نوع از شبكه هاVPDN)Virtual private dial-up network)، نیز گفته می شود.در شبكه های فوق از مدل ارتباطیUser-To-Lan ( ارتباط كاربر به یك شبكه محلی ) استفاده می گردد. سازمانهائی كه از مدل فوق استفاده می نمایند ، بدنبال ایجاد تسهیلات لازم برای ارتباط پرسنل ( عموما" كاربران از راه دور و در هر مكانی می توانند حضور داشته باشند )   به شبكه سازمان  می باشند. سازمانهائی كه تمایل به برپاسازی یك شبكه بزرگ " دستیابی از راه دور " می باشند ، می بایست از امكانات یك مركز ارائه دهنده خدمات اینترنت جهانیESP)Enterprise service provider) استفاده نمایند. سرویس دهندهESP ، بمنظور نصب و پیكربندیVPN ، یكNAS)Network access server) را پیكربندی و نرم افزاری را در اختیار كاربران از راه دور بمنظور ارتباط با سایت قرار خواهد داد. كاربران در ادامه با برقراری ارتباط  قادر به دستیابی بهNAS و استفاده از نرم افزار مربوطه بمنظور دستیابی به شبكه سازمان خود خواهند بود.

* سایت به سایت(Site-to-Site) . در مدل فوق یك سازمان با توجه به سیاست های موجود ، قادر به اتصال چندین سایت ثابت از طریق یك شبكه عمومی نظیر اینترنت است . شبكه هایVPN كه از روش فوق استفاده می نمایند ، دارای گونه های خاصی در این زمینه می باشند:

- مبتنی بر اینترانت . در صورتیكه سازمانی دارای یك و یا بیش از یك محل ( راه دور) بوده و تمایل به الحاق آنها در یك شبكه اختصاصی باشد ، می توان یك اینترانتVPN را بمنظور برقرای  ارتباط هر  یك از شبكه های محلی با یكدیگر ایجاد نمود.

- مبتنی بر اكسترانت . در مواردیكه سازمانی در تعامل اطلاعاتی بسیار نزدیك با سازمان دیگر باشد ، می توان یك اكسترانتVPN را بمنظور ارتباط شبكه های محلی هر یك از سازمانها ایجاد كرد. در چنین حالتی سازمانهای متعدد قادر به فعالیت در یك محیط اشتراكی خواهند بود.

استفاده ازVPN برای یك سازمان دارای مزایای متعددی نظیر : گسترش محدوه جغرافیائی ارتباطی ، بهبود وضعیت امنیت ، كاهش هزینه های عملیاتی در مقایسه با روش های سنتیWAN  ، كاهش زمان ارسال و حمل اطلاعات برای كاربران از راه دور  ، بهبود بهره وری  ، توپولوژی آسان  ،... است . در یكه شبكهVPN به عوامل متفاوتی نظیر : امنیت  ، اعتمادپذیری  ، مدیریت شبكه و سیاست ها نیاز خواهد بود.

شبكه هایLAN جزایر اطلاعاتی

فرض نمائید در جزیره ای در اقیانوسی بزرگ  ، زندگی می كنید. هزاران جزیره  در اطراف جزیره شما وجود دارد. برخی از جزایر نزدیك و برخی دیگر دارای مسافت طولانی با جزیره شما می باشند. متداولترین روش بمنظور مسافرت به جزیره دیگر  ، استفاده از یك كشتی مسافربری است . مسافرت با كشتی مسافربری ، بمنزله عدم وجود امنیت است . در این راستا هر كاری را كه شما انجام دهید  ، توسط سایر مسافرین قابل مشاهده خواهد بود. فرض كنید هر یك از جزایر مورد نظر به مشابه یك شبكه محلی(LAN) و اقیانوس مانند اینترنت  باشند. مسافرت با یك كشتی مسافربری مشابه برقراری ارتباط  با یك سرویس دهنده وب و یا سایر دستگاههای موجود در اینترنت است . شما دارای هیچگونه كنترلی بر روی كابل ها و روترهای موجود در اینترنت نمی باشید. ( مشابه عدم كنترل شما بعنوان مسافر كشتی مسافربری بر روی سایر مسافرین حاضر در كشتی ) .در صورتیكه تمایل به ارتباط بین دو شبكه اختصاصی از طریق منابع عمومی وجود داشته باشد  ، اولین مسئله ای كه با چالش های جدی برخورد خواهد كرد  ، امنیت خواهد بود. فرض كنید  ،  جزیره شما قصد ایجاد یك پل ارتباطی با جزیره مورد نظر را داشته باشد .مسیر ایجاد شده یك روش ایمن  ، ساده و مستقیم برای مسافرت ساكنین جزیره شما به جزیره  دیگر را فراهم می آورد.   همانطور كه حدس زده اید  ، ایجاد و نگهداری یك پل ارتباطی بین دو جزیره مستلزم صرف هزینه های بالائی خواهد بود.( حتی اگر جزایر در مجاورت یكدیگر باشند ) . با توجه به ضرورت و حساسیت مربوط به داشتن یك مسیر ایمن و مطمئن  ، تصمیم به ایجاد پل ارتباطی بین دو جزیره گرفته شده است . در صورتیكه جزیره شما قصد ایجاد یك پل ارتباطی با جزیره دیگر را داشته باشد كه در مسافت بسیار طولانی نسبت به جزیره شما واقع است   ، هزینه های مربوط بمراتب بیشتر خواهد بود. وضعیت فوق  ، نظیر استفاده از یك اختصاصیLeased است . ماهیت  پل های ارتباطی ( خطوط اختصاصی )  از اقیانوس ( اینترنت ) متفاوت بوده و كماكن قادر به ارتباط جزایر( شبكه هایLAN) خواهند بود. سازمانها و موسسات متعددی از رویكرد فوق ( استفاده از خطوط اختصاصی) استفاده می نمایند.  مهمترین عامل در این زمینه وجود  امنیت و اطمینان برای برقراری ارتباط هر یك سازمانهای مورد نظر با یكدیگر است . در صورتیكه مسافت ادارات و یا شعب یك سازمان از یكدیگر بسیار دور باشد  ، هزینه مربوط به برقرای ارتباط نیز افزایش خواهد یافت .

با توجه به موارد گفته شده  ، چه ضرورتی بمنظور استفاده ازVPN وجود داشته وVPN تامین كننده  ، كدامیك از اهداف و خواسته های مورد نظر است ؟ با توجه به مقایسه انجام شده در مثال فرضی  ، می توان گفت كه با استفاده ازVPN به هریك از ساكنین جزیره یك زیردریائی داده می شود. زیردریائی فوق دارای خصایص متفاوت نظیر :

دارای سرعت  بالا است .

هدایت آن ساده است .

قادر به استتار( مخفی نمودن)  شما از سایر زیردریا ئیها و كشتی ها است .

قابل اعتماد است .

پس از تامین اولین زیردریائی ،  افزودن امكانات جانبی و حتی یك زیردریائی دیگرمقرون به صرفه خواهد بود

در مدل فوق  ، با وجود ترافیك در اقیانوس  ، هر یك از ساكنین دو جزیره قادر به تردد در طول مسیر در زمان دلخواه خود با رعایت مسایل ایمنی می باشند. مثال فوق دقیقا" بیانگر تحوه عملكردVPN است . هر یك از كاربران از راه دور شبكه قادربه برقراری ارتباطی امن و مطمئن با استفاده از یك محیط انتقال عمومی ( نظیر اینترنت ) با شبكه محلی(LAN) موجود در سازمان خود خواهند بود. توسعه یكVPN ( افزایش تعداد كاربران از راه دور و یا افزایش مكان های مورد نظر ) بمراتب آسانتر از شبكه هائی است كه از خطوط اختصاصی استفاده می نمایند.  قابلیت توسعه فراگیر از مهمتزین ویژگی های یكVPN نسبت به خطوط اختصاصی است .

امنیتVPN

شبكه هایVPN بمنظور تامین امنیت (داده ها و ارتباطات)  از روش های متعددی استفاده می نمایند :

*فایروال . فایروال یك دیواره مجازی بین شبكه اختصای یك سازمان و اینترنت ایجاد می نماید. با استفاده از فایروال می توان عملیات متفاوتی را در جهت اعمال سیاست های امنیتی یك سازمان انجام داد. ایجاد محدودیت در تعداد پورت ها فعال  ، ایجاد محدودیت در رابطه به پروتكل های خاص  ، ایجاد محدودیت در نوع بسته های اطلاعاتی و ... نمونه هائی از عملیاتی است كه می توان با استفاده از یك فایروال انجام داد.

*رمزنگاری. فرآیندی است كه با استفاده از آن كامپیوتر مبداء اطلاعاتی رمزشده  را برای كامپیوتر دیگر ارسال می نماید. سایر كامپیوترها ی مجاز قادر به رمزگشائی اطلاعات ارسالی خواهند بود. بدین ترتیب پس از ارسال اطلاعات توسط فرستنده  ، دریافت كنندگان، قبل از استفاده از اطلاعات می بایست اقدام به رمزگشائی اطلاعات ارسال شده نمایند. سیستم های رمزنگاری در كامپیوتر به دو گروه عمده تقسیم می گردد :

رمزنگاری  كلید متقارن

رمزنگاری كلید عمومی

در رمز نگاری " كلید متقارن " هر یك از كامپیوترها دارای یك كلیدSecret ( كد ) بوده كه با استفاده از آن قادر به رمزنگاری یك بسته اطلاعاتی قبل از ارسال در شبكه برای  كامپیوتر دیگر می باشند. در روش فوق می بایست در ابتدا نسبت به كامپیوترهائی كه قصد برقراری و ارسال اطلاعات برای یكدیگر را دارند  ، آگاهی كامل وجود داشته باشد. هر یك از كامپیوترهای شركت كننده در مبادله اطلاعاتی می بایست دارای كلید رمز مشابه بمنظور رمزگشائی اطلاعات باشند. بمنظور رمزنگاری اطلاعات ارسالی نیز از كلید فوق استفاده خواهد شد. فرض كنید قصد ارسال یك پیام رمز شده برای یكی از دوستان خود را داشته باشید. بدین منظور از یك الگوریتم خاص برای رمزنگاری استفاده می شود .در الگوریتم فوق هر حرف به دوحرف بعد از خود تبدیل می گردد.(حرفA به حرفC  ، حرفB به حرفD ) .پس از رمزنمودن پیام و ارسال آن  ، می بایست دریافت كننده پیام به این حقیقت واقف باشد كه برای رمزگشائی پیام لرسال شده  ، هر حرف به دو حرق قبل از خود می باطست تبدیل گردد. در چنین حالتی می باطست به دوست امین خود  ، واقعیت فوق ( كلید رمز ) گفته شود. در صورتیكه پیام فوق توسط افراد دیگری دریافت گردد  ، بدلیل عدم آگاهی از كلید  ، آنان قادر به رمزگشائی و استفاده از پیام ارسال شده نخواهند بود.

در رمزنگاری عمومی از تركیب یك كلید خصوصی و یك كلید عمومی استفاده می شود. كلید خصوصی صرفا" برای كامپیوتر شما ( ارسال كننده) قابل شناسائی و استفاده است . كلید عمومی توسط كامپیوتر شما در اختیار تمام كامپیوترهای دیگر كه قصد ارتباط با آن را داشته باشند  ، گذاشته می شود. بمنظور رمزگشائی یك پیام رمز شده  ، یك كامپیوتر می بایست با استفاده از كلید عمومی ( ارائه شده توسط كامپیوتر ارسال كننده )  ، كلید خصوصی  مربوط به خود اقدام به رمزگشائی پیام ارسالی نماید . یكی از متداولترین ابزار "رمزنگاری كلید عمومی"  ، روشی با نامPGP)Pretty Good Privacy) است . با استفاده از روش فوق می توان اقدام به رمزنگاری اطلاعات دلخواه خود نمود.

*IPSec . پروتكلIPsec)Internet protocol security protocol)  ، یكی از امكانات موجود برای ایجاد امنیت در ارسال و دریافت اطلاعات می باشد . قابلیت روش فوق در مقایسه با الگوریتم های رمزنگاری بمراتب بیشتر است . پروتكل فوق دارای دو روش رمزنگاری است :Tunnel  ،Transport . در روشtunel  ، هدر وPayload رمز شده درحالیكه در روشtransport صرفا"payload رمز می گردد. پروتكل فوق قادر به رمزنگاری اطلاعات بین دستگاههای متفاوت است :

روتر به روتر

فایروال به روتر

كامپیوتر به روتر

كامپیوتر به سرویس دهنده

*سرویس دهندهAAA . سرویس دهندگان(AAA :Authentication,Authorization,Accounting)  بمنظور ایجاد امنیت بالا در محیط هایVPN از نوع " دستیابی از راه دور " استفاده می گردند. زمانیكه كاربران با استفاده از خط تلفن به سیستم متصل می گردند  ،  سرویس دهندهAAA درخواست آنها را اخذ و عمایات زیر را انجام خواهد داد :

شما چه كسی هستید؟ ( تایید،Authentication )

شما مجاز به انجام چه كاری هستید؟ ( مجوز ،Authorization )

چه كارهائی را انجام داده اید؟ ( حسابداری  ،Accounting )

تكنولوژی هایVPN

با توجه به نوعVPN  ( " دستیابی از راه دور " و یا " سایت به سایت " )  ، بمنظور ایجاد شبكه از عناصر خاصی استفاده می گردد:

نرم افزارهای مربوط به كاربران از راه دور

سخت افزارهای اختصاصی نظیر یك " كانكتورVPN" و یا یك فایروالPIX

سرویس دهنده اختصاصیVPN بمنظور سرویُس هایDial-up

سرویس دهندهNAS كه توسط مركز ارائه خدمات اینترنت بمنظور دستیابی بهVPN از نوع "دستیابی از را دور" استفاده می شود.

شبكهVPN و مركز مدیریت سیاست ها

با توجه به اینكه تاكنون یك استاندارد قابل قبول و عمومی بمنظور ایجاد شVPN ایجاد نشده است  ،  شركت های  متعدد هر یك اقدام به تولید محصولات اختصاصی خود نموده اند.

- كانكتورVPN . سخت افزار فوق توسط شركت سیسكو طراحی و عرضه شده است.  كانكتور فوق در مدل های متفاوت و قابلیت های گوناگون عرضه شده است . در برخی از نمونه های دستگاه فوق امكان فعالیت همزمان 100 كاربر از راه دور و در برخی نمونه های دیگر تا 10.000 كاربر از راه دور قادر به اتصال به شبكه خواهند بود.

- روتر مختصVPN . روتر فوق توسط شركت سیسكو ارائه شده است . این روتر دارای قابلیت های متعدد بمنظور استفاده در محیط های گوناگون است . در طراحی روتر فوق شبكه هایVPN نیز مورد توجه قرار گرفته و امكانات مربوط در آن بگونه ای  بهینه سازی شده اند.

- فایروالPIX . فایروالPIX(Private Internet eXchange)  قابلیت هائی نظیرNAT  ، سرویس دهندهProxy  ، فیلتر نمودن بسته ای اطلاعاتی  ، فایروال وVPN  را در یك سخت افزار فراهم نموده است .

Tunneling( تونل سازی )

اكثر شبكه هایVPN بمنظور ایجاد یك شبكه اختصاصی با قابلیت دستیابی از طریق اینترنت از امكان "Tunneling " استفاده می نمایند. در روش فوق تمام بسته اطلاعاتی در یك بسته دیگر قرار گرفته و از طریق شبكه ارسال خواهد شد. پروتكل مربوط به بسته اطلاعاتی خارجی  ( پوسته ) توسط شبكه  و دو نفطه (ورود  و خروج بسته اطلاعاتی ) قابل فهم می باشد. دو نقظه فوق را "اینترفیس های تونل " می گویند. روش فوق مستلزم استفاده از سه پروتكل است :

پروتكل حمل كننده . از پروتكل فوق شبكه حامل اطلاعات استفاده می نماید.

پروتكل كپسوله سازی . از پروتكل هائی نظیر:IPSec,L2F,PPTP,L2TP,GRE استفاده می گردد.

پروتكل مسافر . از پروتكل هائی نظیرIPX,IP,NetBeui بمنظور انتقال داده های اولیه استفاده می شود.

با استفاده از روشTunneling  می توان عملیات جالبی را انجام داد. مثلا" می توان از بسته ای اطلاعاتی كه پروتكل اینترنت را حمایت نمی كند ( نظیرNetBeui) درون یك بسته اطلاعاتیIP استفاده و آن را از طریق اینترنت ارسال نمود و  یا  می توان یك بسته اطلاعاتی را كه از یك آدرسIP غیر قابل روت ( اختصاصی ) استفاده می نماید  ، درون یك بسته اطلاعاتی كه از آدرس های معتبرIP استفاده می كند  ، مستقر و از طریق اینترنت ارسال نمود.

در شبكه هایVPN از نوع " سایت به سایت "  ،GRE)generic routing encapsulation) بعنوان پروتكل كپسوله سازی استفاده می گردد. فرآیند فوق نحوه استقرار و بسته بندی " پروتكل مسافر" از طریق پروتكل " حمل كننده " برای انتقال را تبین می نماید. ( پروتكل حمل كننده  ، عموما"IP است ) . فرآیند فوق شامل اطلاعاتی در رابطه با نوع بست های اطلاعاتی برای كپسوله نمودن و اطلاعاتی در رابطه با ارتباط بین سرویس گیرنده و سرویس دهنده است . در  برخی موارد از پروتكلIPSec ( در حالتtunnel) برای كپسوله سازی استفاده می گردد.پروتكلIPSec  ، قابل استفاده در دو نوع شبكهVPN ( سایت به یایت و دستیابی از راه دور ) است . اینترفیش هایTunnel می بایست  دارای امكانات حمایتی ازIPSec باشند.

در شبكه هایVPN از نوع " دستیابی از راه دور "  ،Tunneling با استفاده ازPPP انجام می گیرد.PPP بعنوان حمل كننده سایر پروتكل هایIP در زمان برقراری ارتباط بین یك سیستم میزبان و یك سیستم ازه دور  ، مورد استفاده قرار می گیرد.

هر یك از پروتكل های زیر با استفاده از ساختار اولیهPPP ایجاد و توسط شبكه هایVPN از نوع " دستیابی از راه دور " استفاده می گردند:

-L2F)Layer 2 Forwarding) . پروتكل فوق توسط سیسكو ایجاد شده است . در پروتكل فوق از مدل های  تعیین اعتبار كاربر كه توسطPPP حمایت شده اند  ، استفاده شد ه است .

PPTP)Point-to-Point Tunneling Protocol) . پروتكل فوق توسط كنسرسیومی متشكل از شركت های متفاوت ایجاد شده است . این پروتكل امكان رمزنگاری 40 بیتی و 128 بیتی  را دارا بوده و از مدل های تعیین اعتبار كاربر كه توسطPPP حمایت شده اند  ، استفاده می نماید.

-L2TP)Layer 2 Tunneling Protocol) . پروتكل فوق با همكاری چندین شركت ایجاد شده است .پروتكل فوق از ویژگی هایPPTP وL2F استفاده كرده است .  پروتكلL2TP بصورت كاملIPSec را حمایت می كند. از پروتكل فوق بمنظور ایجاد تونل بین موارد زیر استفاده می گردد :

سرویس گیرنده  و  روتر

NAS و روتر

روتر و روتر

عملكردTunneling مشابه حمل یك كامپیوتر توسط یك كامیون است . فروشنده  ، پس از بسته بندی كامپیوتر ( پروتكل مسافر ) درون یك جعبه ( پروتكل كپسوله سازی ) آن را توسط یك كامیون ( پروتكل حمل كننده ) از انبار خود ( ایترفیس ورودی تونل ) برای  متقاضی   ارسال می دارد. كامیون ( پروتكل حمل كننده ) از طریق بزرگراه ( اینترنت ) مسیر خود را طی ، تا به منزل شما ( اینترفیش  خروجی تونل ) برسد. شما در منزل جعبه ( پروتكل كپسول سازی ) را باز و كامپیوتر ( پروتكل مسافر) را از آن خارج می نمائید.

برگرفته از سایت www.data-srco.ir