Contactați un specialistGoryainov DenisDirector tehnic+79851256588 Pune o întrebare

Combinarea a două sau mai multe rețele locale

Sarcini de rețea:

1. să stabilească un schimb de informații rapid, sigur și de încredere între mai multe birouri și sucursale aflate la distanță;

2. conectați angajații mobili la rețeaua locală, asigurând securitatea conexiuni ;

3. creați un singur canal telefonic pentru sucursale pentru a economisi și controla costurile, ușurința comutării;

4. crearea unui canal de internet centralizat și distribuția traficului între filiale;

5. preia controlul birourilor de la distanță „centru”.

Dacă trebuie să rezolvați aceste probleme, serviciul de la ZSC va permite companiei dumneavoastră să conecteze toate sucursalele și angajații la distanță într-o singură rețea.

Consolidarea rețelelor locale

Atunci când companiile trebuie să combine mai multe sucursale și birouri, astăzi nu mai este suficient ca un antreprenor să înființeze pur și simplu o rețea locală centralizată și să stabilească schimbul de informații.

Clientul are nevoie solutie completa Cu:

1. un singur canal telefonic;
2. trafic de internet gestionat;
3. posibilitatea de control automat și de la distanță suport tehnic calculatoare și servere ale filialelor;
4. acces gratuit pentru angajații de la distanță la informațiile corporative.

În același timp, trebuie asigurat grad înalt securitatea tuturor acestor fluxuri de informații.

Astăzi, serviciul pentru clienți rețele locale cerut sub cheie» - antreprenorul trebuie să efectueze fiecare etapă a lucrării în mod independent, cu o participare minimă a clientului. Ca urmare, clientul trebuie să ofere sistem centralizat managementul sucursalei cu toate componentele IT necesare și instrumentele de control și suport. Nu vorbim de un simplu VPN - vorbim de unificarea virtuală a birourilor la distanță la nivel de „fizic”.

În același timp, nu trebuie să uităm că proiectul combinând două sau mai multe rețele locale trebuie să fie economic, altfel tot rezultatul său pozitiv va fi neprofitabil.

Dacă aveți nevoie să realizați o astfel de combinație de sucursale și birouri la distanță sau să implementați oricare dintre componentele acesteia (rețea telefonică unică, trafic de internet echilibrat), suntem deschiși pentru cooperare. Cu o vastă experiență și calificări înalte pe piață tehnologii digitale, suntem gata sa va oferim cea mai eficienta si economica varianta, concentrata pe nevoile specifice ale afacerii dumneavoastra.

Dispozitive de agregare a rețelei

Specialistii companiei noastre ZSC lucreaza cu echipamente de la orice producator. Dacă aveți propriile routere, le vom configura pentru a combina rețelele locale de birouri la distanță.

Combinarea rețelelor Mikrotik

În practica noastră, folosim echipament profesional din Mikrotik(soluție mai economică și mai populară) și Cisco (soluție mai scumpă și mai funcțională).

Folosind exemplul echipamentelor Mikrotik, vom analiza tehnologiile de combinare a rețelelor locale. În ciuda valorii de piață destul de scăzute în comparație cu analogii, platforma software Mikrotik vă permite să configurați canale de schimb de informații flexibile, sigure și funcționale. Echipamentul acestui producător s-a dovedit în numeroasele noastre proiecte și în birouri clientii. În plus, Mikrotik vă permite să economisiți serios bugetul.

Routerele Mikrotik acceptă până la șapte protocoale pentru trimiterea în siguranță a informațiilor, care sunt criptate ca pachete separate cu un al doilea antet IP atribuit. Acest antet include adresa IP de destinație și adresa IP a expeditorului. Când încearcă să intercepteze informații, un fraudator vede doar aceste informații și este imposibil să se determine computerul sursă și computerul destinatar. În cazul unei scurgeri de informații, decriptarea codului va dura prea mult și nu este încă sigur că acest lucru va funcționa. Există și alte opțiuni pentru transmiterea în siguranță a informațiilor.

Protocoale de securitate:

Mai mult

PPTP(protocol punct la punct tunel) - folosit pentru a construi rețele dedicate peste cele deschise. Dispune de performanță ridicată, o varietate de opțiuni de criptare și capacitatea de a utiliza diverse platforme software.

L2TP- Spre deosebire de PPTP, are o toleranță mai mare la erori și o securitate mai bună. Este folosit atât pentru construirea de rețele închise în interiorul celor deschise, cât și pentru accesare rețeaua corporativă de la dispozitive la distanță, precum și pentru a utiliza o varietate de scheme de conectare.

IP2IP- criptează informațiile în pachete și îi atribuie un IP separat pentru o transmitere fiabilă către destinatar. Este folosit pentru a construi tuneluri între routere prin Internet.

PPPOE- funcționează similar cu protocolul PPTP, dar este o soluție mai simplă și mai puțin consumatoare de resurse.

IPSec- una dintre cele mai fiabile opțiuni pentru construirea unui tunel închis. În plus, informațiile sunt criptate, pentru citire este necesară utilizarea cheilor individuale. Acest lucru oferă un grad ridicat de protecție pe două niveluri pentru transmiterea datelor.

VLAN- prevede crearea de tuneluri securizate logice de mare viteză, care din punct de vedere al securității sunt apropiate de transmiterea „fizică” a informațiilor, de exemplu, în interiorul biroului prin cabluri.

EoIP- organizează o asociere transparentă de birouri și sucursale la distanță pe deasupra canalelor virtuale create. Vă permite să configurați în mod flexibil traficul pe Internet, politicile de securitate individuale, efectuați echilibrarea și setările pentru sucursalele de la distanță. Pentru a utiliza EoIP, este necesară o lățime de bandă destul de largă, deoarece protocolul preia până la 15% din trafic pentru control.

Combinația de diferite protocoale de securitate vă permite să construiți canale de schimb de informații flexibile, sigure și de încredere și să răspundeți nevoilor specifice ale afacerii. Dacă aveți nevoie de securitate maximă, protocolul IPSec este potrivit, iar dacă aveți nevoie de un canal mai simplu pentru transmiterea informațiilor criptate - PPTP, L2TP sau IP2IP. VLAN-urile și EoIP pot fi o alegere pentru organizarea unei logisticii informaționale transparente și controlate între sucursale și birouri.

Prețul combinării a două sau mai multe rețele locale

Trimiteți o listă de prețuri unificată cu claritate prețuri pentru conectarea a două sau mai multe rețele locale, care s-ar aplica tuturor proiectelor, este imposibil. În calculul final, multe depind de sarcini, nevoile afacerii, domeniul de activitate, numărul de prize Ethernet, filmarea cablurilor și multe altele.

Cu toate acestea, există câțiva indicatori de bază care se aplică anumitor tipuri de muncă:

Actual la 16.02.2017 (fără TVA)

Specialiștii și designerii noștri sunt capabili să creeze un proiect de combinare a două sau mai multe rețele locale de orice complexitate si amploare, pentru nevoile specifice ale afacerii, coordoneaza-l cu clientul si implementeaza-l la cheie.

Combinarea rețelelor de calculatoare - cum lucrăm:

• primim datele inițiale, setările și politicile de securitate care funcționează în cadrul companiei dvs.;
• le integrăm cu setările routerului, configuram echipamentele în funcție de cerințele de care aveți nevoie;
• trimiteți routerul configurat la filiala de la distanță (birou) și conectați-l;
• executa punere in functiune ;
• vă oferim o soluție la cheie - combinând două sau mai multe rețele locale.

Pentru tine - totul este elementar simplu! Și de partea noastră - experiență vastă, calificări înalte și zeci de proiecte finalizate. Și toate acestea ne permit să lucrăm rapid, eficient și cu economii serioase de buget, fără a sacrifica calitatea.

Și dacă ești clientul nostru al unui complex serviciu de abonament premium, atunci acest serviciu vă este oferit gratuit (se plătește doar echipamentul)!

Să aruncăm o privire mai atentă asupra componentelor individuale ale unei soluții cuprinzătoare „Combinarea a două sau mai multe rețele locale”.

Telefonie între birouri la distanță

Sarcină : creați o rețea telefonică unificată cu numere „scurte” de abonați în sucursale la distanță, asigurați economii de costuri la apeluri și control asupra utilizării linii telefonice, conectați angajații mobili la rețeaua de telefonie, introduceți un singur număr.

Când ne-am unit printr-o rețea comună ethernet birouri centrale și îndepărtate, am format astfel un singur spațiu informațional. În acest spațiu pot fi transferate orice date: fișiere, conținut video, conținut vocal și alte informații. Cel mai masiv segment de informații care se transmite în cadrul companiei este datele serverului; al doilea ca popularitate voceși conținut video.

O singură rețea locală vă permite să configurați echipamentul în așa fel încât angajații care pot fi despărțiți de mii de kilometri să fie localizați în același birou.

Angajații staționari

Pentru a construi o rețea telefonică unificată între filiale și „centru” este necesar propriul PBX de birou digital instalat în sediul central. Iar în filiale sunt conectate telefoane IP, pentru care adresele IP sunt configurate ca și cum ar fi o rețea a unui singur birou. PBX-ul și telefonul la distanță se identifică reciproc, după care atribuim un număr „scurt” pentru biroul de la distanță. Totul se întâmplă ca și cum tocmai am adăugat un nou angajat în biroul central.

Drept urmare, angajații tăi încep să lucreze într-un singur spațiu, indiferent cât de departe sunt unul de celălalt. Când sosește un apel la PBX, centrala telefonică „crede” că sunteți în aceeași rețea și redirecționează apelul, iar acesta este auzit în alt oraș sau chiar țară. În același timp, este asigurat un nivel ridicat de transfer de date - comunicarea se realizează prin tuneluri criptate securizate.

Muncitori mobili

Angajații mobili pot fi, de asemenea, conectați la rețeaua telefonică unificată a companiei. Pentru a face acest lucru, trebuie să folosească telefoane care acceptă tunelul. În interiorul smartphone-ului este configurat un tunel criptat, care „se ridică” atunci când telefonul este conectat rețele WiFiși este autorizat prin setările prescrise de la centrala centrală din biroul dumneavoastră.

În cele din urmă, dvs muncitor mobil face parte din rețeaua telefonică corporativă, poate avea un număr „scurt” pentru comutare rapidăși utilizați tarife avantajoase pentru efectuarea și primirea apelurilor care sunt configurate pe centrala centrală.

Avantajele unei singure telefonie între filiale:

• configurație flexibilă a direcționării interne a apelurilor;
• posibilitatea folosirii mai multor operatori si tarife;
• posibilitatea utilizării unui singur număr de telefon cu redirecționare ulterioară către numerele de filiale;
• economii semnificative la costurile de telefonie;
• centralizare și control asupra apelurilor primite și efectuate.

Printre acestea și multe alte avantaje ale unei rețele de telefonie între filiale la distanță, există două principale care au făcut acest serviciu atât de popular astăzi: primul- utilizarea numerelor multicanal; și, al doilea- economii la costurile de telefonie.

Datorită multi-canalului, apelurile sunt distribuite confortabil între birourile aflate la distanță. Este suficient doar să configurați un meniu vocal, astfel încât clientul să poată apela un singur număr și să se conecteze la o anumită regiune, oraș, birou sau divizie.

Economiile de costuri sunt asigurate de rutarea logică între mai mulți operatori care sunt conectați la un singur PBX în centrală birou. Adică este suficient să configurați corect centrala telefonică de la sediul central o singură dată, conectând mai mulți operatori la acesta, pentru a reduce costul telefoniei pentru întreaga rețea de sucursale. De exemplu, toate apelurile din Rusia sunt efectuate printr-un singur operator de telefonie IP. Apelurile analogice din Moscova trec prin linii urbane nelimitate, iar apelurile la distanță lungă printr-un al treilea operator de telefonie SIP. Și așa este pentru toată lumea specii separate comunicații: intrare/ieșire, apeluri în interiorul Rusiei, în regiune, oraș, apeluri interurbane și internaționale, de la telefoane fixe și mobile.

Clienții noștri, în configurații complexe, au de la 2 până la 5 operatori de telecomunicații, ceea ce asigură cea mai optimă cheltuire a fondurilor. Ei trebuie să monitorizeze funcționarea corectă a unui singur echipament central pentru a deservi efectiv zeci de birouri și pentru a nu cheltui zeci de mii de ruble pentru utilizarea analfabetă a traficului telefonic.

Mai multe informații despre acest serviciu găsiți în secțiunea „Office PBX”. Aici veți afla exact cât de mult poate economisi o companie atunci când folosește un schimb central.

Rețele de internet

Sarcină : asigurați trafic de internet stabil și neîntrerupt într-un birou sau sucursală aflată la distanță

Atunci când o companie are o sucursală mică în alt oraș, funcționarea eficientă a acesteia este asociată cu o conexiune la Internet constantă și stabilă, iar toate procesele de afaceri se opresc de îndată ce conexiunea se întrerupe, este imperativ rezerva canale de internet.

Folosind echipamente moderne de la MikroTik și Cisco, ne putem asigura că procesele de afaceri ale clientului nu se opresc și că sucursalele aflate la distanță primesc în mod constant internet stabil.

Echilibrarea canalelor de internet ale birourilor la distanță - ce este?

Pentru a îndeplini această sarcină, am configurat canalele ISP-ului principal și de rezervă. În același timp, backup-ul poate fi fie un canal suplimentar terestru, fie un canal mai economic. operatori de telefonie mobilă(Beeline, MTS, Megafon, Yota, Tele2).

În cazul defecțiunii canalului principal, de obicei mai puternic, are loc trecerea automată la canalul de rezervă. Cu un astfel de comutator, echipamentul este reautorizat, iar un tunel pentru transmiterea securizată a datelor criptate este ridicat în canalul de rezervă. In prealabil este necesara autorizarea echipamentelor in asa fel incat sa fie posibila echilibrarea intre doua canale de Internet, in functie de disponibilitatea acestora.

Pentru utilizatorul final, nu vor avea loc modificări - pur și simplu va continua să utilizeze Internetul, care va fi furnizat temporar printr-un canal de rezervă. Și al nostru sistem automatizat monitorizarea primește aceste date, specialiștii văd informațiile și trimit o solicitare furnizorului canalului principal pentru a remedia problema.

Îndemnăm clienții să nu economisească pe canalul de rezervă, deoarece costul utilizării acestuia (până la 1.000 de ruble în funcție de regiune) va fi semnificativ mai mic decât posibilele pierderi de afaceri din cauza întreruperilor singurului canal de internet.

Există, de asemenea, scheme mai complexe pentru echilibrarea canalelor de internet ale birourilor la distanță. De exemplu, Cisco a dezvoltat și implementat tuneluri GRE. Sunt tuneluri familiare, dar antetul GRE este suprapus „peste” pachetului IP standard. Astfel de tuneluri vă permit să efectuați autorizarea domeniului în cadrul rețelei.

Opțiunea de echilibrare a canalului de internet depinde de nevoile specifice ale clientului.

Rețelele locale dintre birourile la distanță pot fi utilizate și pentru alte opțiuni de combinare, de exemplu, pentru videoconferinta, asigura politică de securitate unificatăși mult mai mult.

Noi, la rândul nostru, suntem capabili să asigurăm o astfel de unificare a rețelei de sucursale a clientului, astfel încât infrastructura sa IT să funcționeze fără eșecuri, astfel încât procesele sale de afaceri să nu se oprească - suntem gata să vă asigurăm toleranță la erori de neegalat toate componentele.

Deși subiectul este bătut, cu toate acestea, mulți întâmpină adesea dificultăți - fie că este un administrator de sistem începător sau doar un utilizator avansat, care a fost forțat de superiorii săi să îndeplinească funcțiile unui enikey. Paradoxal, în ciuda abundenței de informații despre VPN, găsirea unei opțiuni clare este o problemă întreagă. Mai mult, cineva are chiar impresia că unul a scris - în timp ce alții au copiat cu nebunie textul. Drept urmare, rezultatele căutării sunt literalmente pline de o abundență de informații inutile, de care rareori se poate izola ceea ce merită. Prin urmare, am decis să mestec toate nuanțele în felul meu (poate că va fi de folos cuiva).

Deci, ce este un VPN? VPN (VirtualPrivatreţea- rețea privată virtuală) - un nume generalizat pentru tehnologiile care permit ca una sau mai multe conexiuni de rețea (rețea logică) să fie furnizate printr-o altă rețea (inclusiv Internet). În funcție de protocoalele și scopurile utilizate, un VPN poate oferi trei tipuri de conexiuni: nod-nod, rețea-nodși rețea-rețea. După cum se spune, fără comentarii.

Schemă VPN stereotipă

Un VPN facilitează combinarea unei gazde la distanță cu rețeaua locală a unei companii sau a unei alte gazdă, precum și combinarea rețelelor într-una singură. Beneficiul este destul de evident - obținem cu ușurință acces la rețeaua întreprinderii de la clientul VPN. În plus, un VPN vă protejează și datele prin criptare.

Nu pretind că vă descriu toate principiile funcționării VPN, deoarece există multă literatură de specialitate și, sincer să fiu, eu nu știu multe lucruri. Cu toate acestea, dacă aveți o sarcină „Fă-o!”, trebuie să vă alăturați de urgență subiectului.

Să luăm în considerare o sarcină din practica mea personală, când a fost necesară combinarea a două birouri prin VPN - sediul central și sucursala. Situația s-a complicat și mai mult de faptul că în sediul central exista un server video care ar trebui să primească video de la camera IP a filialei. Iată sarcina ta pe scurt.

Există multe moduri de a rezolva. Totul depinde de ceea ce ai la îndemână. În general, VPN este ușor de construit folosind o soluție hardware bazată pe diverse routere Zyxel. În mod ideal, se poate întâmpla și ca internetul să fie distribuit la ambele birouri de către un singur furnizor și atunci nu veți avea deloc probleme (doar apelați la Provo). Dacă firma este bogată, și CISCO își poate permite. Dar de obicei totul se rezolvă prin software.

Și aici alegerea este grozavă - Open VPN, WinRoute (rețineți că este plătit), instrumente ale sistemului de operare, programe precum Hamanchi (ca să fiu sincer, în cazuri rare poate ajuta, dar nu recomand să vă bazați pe el - versiune gratuită are o limită de 5 gazde și un alt dezavantaj semnificativ este că întreaga ta conexiune depinde de gazda Hamanchi, ceea ce nu este întotdeauna bun). În cazul meu, ideal ar fi să folosești OpenVPN - program gratuit, care poate crea cu ușurință o conexiune VPN de încredere. Dar noi, ca întotdeauna, vom lua calea celei mai mici rezistențe.

În filiala mea, Internetul distribuie un gateway bazat pe client Windows. De acord, nu cel mai bun cea mai bună soluție, dar suficient pentru un trio de computere client. Trebuie să fac un server VPN de pe această poartă. Din moment ce citiți acest articol, probabil sunteți sigur că sunteți nou în VPN. Prin urmare, pentru tine, dau cel mai simplu exemplu, care, în principiu, mi se potrivește.

Windows din familia NT au deja capabilități rudimentare de server încorporate în ele. Configurarea unui server VPN pe una dintre mașini nu este dificilă. Ca server, voi da exemple de capturi de ecran din Windows 7, dar principii generale va fi la fel ca pentru vechiul XP.

Vă rugăm să rețineți că pentru a conecta două rețele, trebuie aveau o gamă diferită! De exemplu, la sediul central, intervalul poate fi 192.168.0.x, iar la sucursală, poate fi 192.168.20.x (sau orice interval de ip gri). Acest lucru este foarte important, așa că aveți grijă. Acum, puteți începe configurarea.

Pe serverul VPN, accesați Panoul de control -> Centru de rețea și partajare -> modificați setările adaptorului.

Acum apăsați tasta Alt pentru a afișa meniul. Acolo, în elementul Fișier, selectați „Nouă conexiune de intrare”.

Bifați casetele pentru utilizatorii care se pot conecta prin VPN. Recomand cu căldură să adăugați un utilizator nou, să îi acordați un nume prietenos și să atribuiți o parolă.

După ce ați făcut acest lucru, trebuie să selectați în fereastra următoare cum se vor conecta utilizatorii. Bifați caseta „Prin internet”. Acum tot ce trebuie să faceți este să atribuiți un interval de adrese de rețea virtuală. Mai mult, puteți alege câte computere pot participa la schimbul de date. În fereastra următoare, selectați protocolul TCP / IP versiunea 4, faceți clic pe „Proprietăți”:

Veți vedea ce am în captură de ecran. Dacă doriți ca clientul să acceseze rețeaua locală în care se află serverul, pur și simplu bifați caseta de selectare „Permite apelanților să acceseze rețeaua locală”. În paragraful „Atribuirea adreselor IP”, vă recomand să specificați adresele manual după principiul pe care l-am descris mai sus. În exemplul meu, am dat intervalului doar douăzeci și cinci de adrese, deși aș fi putut să dau doar două și 255.

După aceea, faceți clic pe butonul „Permite accesul”.

Sistemul va crea automat un server VPN care va aștepta orfan să se alăture cineva.

Acum, singurul lucru rămas este să configurați clientul VPN. Pe computerul client, accesați și Centrul de rețea și partajare și selectați Creează o conexiune sau o rețea nouă. Acum va trebui să selectați un articol „Conectarea la un loc de muncă”

Faceți clic pe „Utilizați conexiunea mea la Internet” și acum veți fi aruncat într-o fereastră în care va trebui să introduceți adresa gateway-ului nostru de internet în filială. Pentru mine pare ca 95.2.x.x

Acum puteți apela conexiunea, introduceți numele de utilizator și parola pe care le-ați introdus pe server și încercați să vă conectați. Dacă totul este corect, atunci vei fi conectat. În cazul meu, pot deja ping orice computer din ramură și pot interoga camera. Acum mono este ușor de agățat de serverul video. Poate ai altceva.

Alternativ, la conectare, poate apărea eroarea 800, indicând că ceva nu este în regulă cu conexiunea. Aceasta este o problemă de firewall fie pe client, fie pe server. Mai exact, nu vă pot spune - totul este determinat experimental.

Așa fără pretenții am creat un VPN între două birouri. Jucătorii pot fi combinați în același mod. Cu toate acestea, nu uitați că acesta nu va fi încă un server cu drepturi depline și este mai bine să utilizați instrumente mai avansate, despre care voi discuta în următoarele părți.

În special, în partea 2 ne vom uita la configurarea OPenVPN pentru Windows și Linux.

Scopul principal al combinării rețelelor locale de birouri este de a oferi acces transparent la resursele de informații distribuite geografic ale organizației. Consolidarea rețelelor de birouri vă permite să rezolvați următoarele sarcini cele mai comune:

• utilizarea unei singure capacități de numerotare a centralei telefonice automate de birou;
• furnizați autorizarea utilizatorului pentru accesul la resurse (dosare partajate, site intranet, E-mail etc.) indiferent de locația lor actuală;
• oferiți acces securizat angajaților organizației la resursele situate în diferite birouri (de exemplu, asigurați munca angajaților cu un server 1C-enterprise instalat într-unul dintre birouri);
• lucrați pe un computer la distanță utilizând acces la terminal (control de la distanță desktop);
• crește eficiența și receptivitatea serviciului de suport tehnic prin capacitatea de a gestiona de la distanță computere, servere și alte echipamente, precum și utilizare eficientă instrumente Windows încorporate pentru asistență - Asistență de la distanță.

Metode de implementare a agregării rețelei de birouri

Pentru a uni rețelele locale de birouri și sucursale la distanță, se folosește tehnologia rețelelor private virtuale - VPN (Virtual Private Network). Această tehnologie este concepută pentru protecția criptografică a datelor transmise prin rețele de calculatoare. O rețea privată virtuală este o colecție de conexiuni de rețea între mai multe gateway-uri VPN care criptează traficul de rețea. Gateway-urile VPN sunt numite și gateway-uri criptografice sau gateway-uri criptografice.

Există două metode pentru a construi o singură rețea corporativă securizată a unei organizații:

1. utilizarea echipamentului și a setului corespunzător de servicii ale furnizorului de internet;
2. folosind echipamente proprii aflate la sediul central si sucursale.

VPN și servicii furnizate de ISP

Această soluție este aplicabilă dacă sediul central și sucursalele sunt conectate la Internet prin același ISP. Dacă sucursalele companiei sunt împrăștiate prin orașe, și chiar în tari diferite, cu greu există un furnizor care să vă poată oferi nivelul cerut serviciu și chiar și pentru bani rezonabili.

Dacă birourile dumneavoastră se află în același oraș, verificați cu ISP-ul dumneavoastră pentru a vedea dacă vă pot conecta rețelele LAN de birou într-o singură rețea. Poate că această soluție va fi optimă pentru dvs. din punct de vedere al costului.

Consolidarea rețelelor de birouri și sucursale pe cont propriu

Metoda de combinare a două rețele folosind tehnologia VPN se numește „Peer-to-Peer VPN” sau „site-to-site VPN” în literatura de specialitate în limba engleză. Între cele două rețele este stabilit un mod de „criptare transparentă”. IPSec este cel mai utilizat protocol pentru criptarea și transmiterea traficului în rețelele IP.

Pentru a organiza conexiuni VPN (tunele VPN) între biroul central și sucursalele companiilor mici, vă recomandăm să utilizați gateway-uri hardware de Internet (firewall-uri) cu suport VPN încorporat. Un exemplu de astfel de gateway-uri ar fi ZyXEL ZyWALL, Netgear Firewall, Check Point [email protected], etc. Această clasă de produse este concepută pentru utilizare în companii mici cu un număr mediu de angajați de la 5 la 100 de persoane. Aceste dispozitive sunt ușor de configurat, au fiabilitate ridicată și performanță suficientă.

La sediul central al unei organizații, sunt adesea instalate soluții software integrate de securitate a rețelei, cum ar fi „Microsoft Internet Security and Acceleration Server 2006” (Microsoft ISA 2006), CheckPoint Express, CheckPoint VPN-1 Edge și altele. Gestionarea acestor protecții necesită personal cu înaltă calificare, care este de obicei disponibil fie la sediul central, fie împrumutat de la compania de outsourcing.

Indiferent de echipamentul utilizat, schema generală pentru construirea unui VPN Peer-to-Peer pentru combinarea în siguranță a rețelelor locale de birouri la distanță într-o singură rețea este următoarea:

De asemenea, trebuie remarcat faptul că există cripto-gateway-uri hardware specializate, cum ar fi Cisco VPN Concentrator, „Continent-K”, etc. Scopul lor este rețelele medii și medii. companii mari unde este necesar să se ofere performanțe ridicate la criptarea traficului de rețea, precum și accesibilitate. De exemplu, furnizați criptarea datelor în conformitate cu GOST ("Continent-K").

Ce să căutați atunci când alegeți echipamentul

Atunci când alegeți echipament pentru organizarea unei rețele private virtuale (VPN), trebuie să acordați atenție următoarelor proprietăți:

1. numărul de tuneluri vpn suportate simultan;
2. performanţă;
3. capacitatea de a filtra traficul de rețea în interiorul tunelului vpn (această funcție nu este implementată în toate gateway-urile de internet);
4. suport pentru controlul calității QoS (foarte util la transferul de trafic vocal între rețele);
5. compatibilitate cu echipamentele existente și tehnologiile aplicate.

Soluții hardware

Avantajele soluțiilor construite pe gateway-uri hardware cu costuri reduse

• Cost scăzut;
• Fiabilitate ridicată (nu este nevoie de backup, atunci când alimentarea este oprită, nimic nu se defectează);
• Ușurință în administrare;
• Consum redus de putere;
• Ocupă puțin spațiu, poate fi instalat oriunde;
• în funcție de platforma aleasă pentru construirea unui VPN, este posibil să se instaleze servicii suplimentare pe gateway-ul vpn: scanare antivirus a traficului de internet, detectarea atacurilor și intruziunilor etc., ceea ce crește semnificativ nivelul general de securitate a rețelei și reduce costul total al unei soluții cuprinzătoare de protecție a rețelei.

Defecte

• Soluția nu este scalabilă, creșterea performanței se realizează printr-o înlocuire completă a echipamentelor;
• Mai puțin flexibil în setări;
• Integrarea cu Microsoft Active Directory (sau LDAP) nu este, în general, acceptată.

Soluții software

Beneficiile soluțiilor software

• Flexibilitate;
• Scalabilitate, adică capacitatea de a crește productivitatea după cum este necesar;
• Integrare strânsă cu Microsoft Active Directory (Microsoft ISA 2006, CheckPoint)

Defecte

• Preț mare;
• Complexitatea administrării.

Unde sa încep

Înainte de a începe să alegeți hardware și software (denumit în continuare software) pentru implementarea unui proiect de combinare a rețelelor locale de birouri într-o singură rețea prin VPN, trebuie să aveți următoarele informații:

1. Definiți topologia:
   • Meshed (complet conectat) - fiecare site poate organiza automat o conexiune criptată cu orice alt site;
   • Steaua (stea) - filialele pot stabili conexiuni sigure cu site-ul central;
   • Hub și Spoke (conexiune prin hub) - ramurile pot fi conectate între ele prin hub-ul site-ului central;
   • Acces de la distanță ( acces de la distanță) - utilizatorii și grupurile pot stabili conexiuni securizate la unul sau mai multe site-uri;
   • Combinații ale metodelor de mai sus (de exemplu, o topologie Star with Meshed Center - o stea cu un centru complet mesh - în care ramurile la distanță pot face schimb de informații cu toți membrii VPN-ului central, care are o topologie complet mesh).
2. Numărul de filiale (câte conexiuni VPN simultane ar trebui să suporte echipamentul de la sediul central);
3. Numărul de utilizatori în sediul central și în fiecare sucursală;
4. Ce echipamente și/sau software se utilizează în fiecare ramură (sunt necesare date pentru a lua în considerare posibilitățile de utilizare a echipamentelor și/sau software-ului existent);
5. Date privind conectarea filialelor la Internet: atribuirea adresei IP - dinamică sau statică, viteza canalului de comunicare;
6. Care este abordarea managementului securitatea informatiei(protecția perimetrului rețelei, securitatea antivirus) se vor aplica: managementul centralizat al sediului și filialelor de către un administrator de securitate (administrator de sistem), sau fiecare sucursală are propriul administrator de sistem.

Pentru a minimiza amenințarea de pătrundere în rețeaua biroului central, este necesar să se acorde atenția cuvenită protecției rețelelor sucursalelor organizației. Utilizarea unui VPN nu garantează o protecție fiabilă împotriva intruziunilor decât dacă rețelele de sucursale sunt, de asemenea, bine protejate. Dacă un atacator poate obține acces neautorizat la rețeaua de sucursale, atunci poate obține și acces la Sistem informatic sediul central, deoarece rețelele sediului central și ale filialei sunt combinate într-o singură rețea prin VPN.

În multe organizații care au mai multe sucursale, este nevoie de a combina rețelele locale de birouri într-o singură rețea corporativă. Conectarea rețelelor crește eficiența afacerii și reduce costurile asociate cu îndepărtarea birourilor. Rețele birourile la distanță ale companiei vă permit să rezolvați următoarele sarcini:

• Munca angajaților din toate birourile într-o singură bază de date (de exemplu, 1C)
• Furnizarea angajaților de la distanță cu acces la resursele corporative partajate ale companiei prin Internet (acces la distanță la rețea)
• Schimb de date rapid și convenabil între angajații birourilor de la distanță

Conectarea rețelelor prin retele publice Internetul, în acest sens, problema securității rețelelor și a confidențialității informațiilor transmise este acută. Tehnologia VPN (Virtual Private Networks) este utilizată pentru a conecta în siguranță și în siguranță două rețele prin canale de comunicații publice.

Configurarea VPN (rețele private virtuale)

Configurare VPN(Rețelele private virtuale) între sediile companiei (conectarea rețelelor) asigură criptarea datelor transmise. În funcție de nevoile clientului și de infrastructura IT existentă, o rețea VPN poate fi creată pe baza unui complex software sau hardware. O modalitate destul de comună de a crea o rețea VPN este configurarea unui VPN pe baza unui pachet software, care, pe lângă implementarea unei rețele VPN, poate servi ca firewall și poate filtra traficul de rețea.

Acces de la distanță la un computer

Să presupunem că avem 2 birouri în diferite părți ale orașului sau în diferite orase sau țări și fiecare dintre ele este conectat la Internet printr-un canal destul de bun. Trebuie să le conectăm într-o singură rețea locală. În acest caz, niciunul dintre utilizatori nu va ghici unde se află acest sau acel computer sau imprimantă în rețeaua locală, vor folosi imprimante, foldere partajate și toate avantajele unei rețele fizice. Angajații de la distanță conectați prin OpenVPN vor putea, de asemenea, să lucreze în rețea, ca și cum computerele lor s-ar afla în rețeaua fizică a unuia dintre birouri.

Ne vom instala în sistem de operare Debian Squeeze, dar instrucțiunile sunt pe deplin aplicabile oricărei distribuții bazate pe Debian și cu mici modificăriîn bridge și comenzile de instalare și configurare OpenVPN se vor aplica oricărei distribuții Linux sau FreeBSD.

Să presupunem că o distribuție Debian sau Ubuntu este instalată folosind una dintre instrucțiunile: .

Instalați și configurați o rețea VPN bazată pe OpenVPN folosind o punte atinge 0

Creăm o punte de rețea între rețeaua fizică et1și interfață virtuală atinge 0

Instalați programele necesare acceptând solicitarea managerului de pachete:

Configuram reteaua de servere pe baza faptului ca avem 2 placi de retea: retea eth0 et1 br0

Editarea fișierului de configurare /etc/network/interfaces:

Auto lo iface lo inet loopback # furnizor de internet auto eth0 iface eth0 inet adresa statica 192.168.50.2 netmask 255.255.255.0 gateway 192.168.50.1 # local network auto eth1 iface eth1 inet static address 10.15.25.255.

Auto lo iface lo inet loopback # Înregistrați bridge-ul, includeți interfața tap0 VPN și placa de rețea eth1 în ea auto br0 iface br0 inet static # Adăugați interfața openvpn bridge_ports eth1 tap0 adresa 10.10.10.1 netmask 255.255.255.0 # Internet auto eth0 eth0 inet adresa statica 192.168.50.2 masca de retea 255.255.255.0 gateway 192.168.50.1

După aceea, la executarea comenzii ifconfig, ar trebui să apară o punte br0 cu IP 10.10.10.1, interfata eth0 cu adresa IP 192.168.50.2 și interfață et1 fără o adresă IP, așa cum este în bridge br0

Configurați OPENVPN:
Copiem scripturile pentru configurarea serverului nostru openvpn cu comanda:

Cp -Rp /usr/share/doc/openvpn/examples/easy-rsa/2.0/ /etc/openvpn/easy-rsa

Efectuarea de modificări la un fișier /etc/openvpn/easy-rsa/vars pentru a defini variabile globale și a introduce mai puține date la crearea cheilor:

Pe /etc/openvpn/easy-rsa/vars

export KEY_COUNTRY="US" export KEY_PROVINCE="CA" export KEY_CITY="SanFrancisco" export KEY_ORG="Fort-Funston" export KEY_EMAIL=" "

Export KEY_COUNTRY="UA" export KEY_PROVINCE="11" export KEY_CITY="Kiev" export KEY_ORG="NameFirm" export KEY_EMAIL=" "

Accesați folderul cu scripturi pentru crearea de certificate și chei cu comanda:

Cd /etc/openvpn/easy-rsa/

Inițializam PKI (Public Key Infrastructure) cu comenzile:

. ./vars ./clean-all

Atenţie. La executarea comenzii ./curata tot toate certificatele și cheile existente atât ale serverului, cât și ale clienților vor fi șterse, așa că nu rulați pe serverul de producție sau faceți-o după salvarea folderului /etc/openvpn/ la arhiva cu comanda:

Tar cf - /etc/openvpn/ | gzip -c -9 > /home/openvpn_backup.tgz

Generăm un certificat de autoritate de certificare (CA) și o cheie cu comanda:

./build-ca

Majoritatea parametrilor vor fi preluați din fișierul vars. Doar parametrul Nume trebuie specificat explicit:

Nume:vpn

În general, puteți completa toate câmpurile de fiecare dată când aveți nevoie.

Generam parametrii Diffie - Hellman cu comanda:

./build-dh

Generăm un certificat și o cheie privată pentru server, nu introducem nimic la cererea de parolă și când vi se solicită Semnează certificatul?: introduce yși apăsați introduce rulând comanda:

./build-key-server

Toți parametrii sunt acceptați implicit. La cerere denumirea comună introduce Server

Nume comun (de exemplu, numele dvs. sau numele de gazdă al serverului dvs.): server

Întrebări Semnează certificatul?și 1 din 1 solicită certificat certificat, comite? raspundem pozitiv:

Semnează certificatul? :y 1 din 1 solicită certificat certificat, comite? y

Rămâne să creăm certificate și chei pentru clienți. Mai întâi inițializam parametrii:

Cd /etc/openvpn/easy-rsa/ . ./vars

Creați chei pentru utilizator server1. De exemplu, adăugați câți utilizatori aveți nevoie:

./build-key server1 ./build-key client1 ./build-key client2

Pe baza faptului că avem o rețea 10.10.10.0/24 alocam imediat un grup de adrese pentru computerele de birou 1 - 10.10.10.40-149 , pentru biroul 2 alocam un pool de adrese 10.10.10.150-254 și alocați un grup de adrese pentru angajații de la distanță 10.10.10.21-39.
Creați un folder /etc/openvpn/ccd/ unde specificam ce client ce comanda ip:

Mkdir -p /etc/openvpn/ccd/

Atribuim fiecărui client propriul IP în rețea cu comenzile:

echo "ifconfig-push 10.10.10.150 255.255.255.0" > /etc/openvpn/ccd/server1 echo "ifconfig-push 10.10.10.21 255.255.255.0" > /etc/openvpn/ccd/server1 echo "ifconfig-push 10.10.10.21 255.255.255.0" > /etc/openvpn/ccd/ofig0. 255.255.255.0" > /etc/openvpn/ccd/client2

Creați un fișier de configurare a serverului:

Vi /etc/openvpn/server.conf ################################ port 1195 proto udp dev tap0 ca easy-rsa/keys/ca.crt cert easy-rsa/keys/server.crt cheie easy-rsa/keys/server.key # Acest fișier trebuie păstrat secret dh easy-rsa/keys/dh1024.pem mode server tls- daemon server ifconfig 10.10.10.1 255.255.255.0 client-config-dir /etc/openvpn/ccd keepalive 10 20 client-la-client comp-lzo persist-key persist-tun verb 3 log-append /var/log/openvpn.log #script-security 2 # anulați comentariul când rulați pe OpenVPN versiunea 2.4 în sus /etc/openvpn/up.sh ########################## # #####

În /etc/default/openvpn

OPTARGS=""

OPTARGS="--script-security 2"

Creați un script /etc/openvpn/up.sh lansat când pornește serverul OpenVPN:

vi /etc/openvpn/up.sh #!/bin/sh brctl addif br0 tap0 brctl addif br0 eth1 ifconfig tap0 0.0.0.0

Dați permisiunea de a executa scriptul /etc/openvpn/up.sh comanda:

Chmod +x /etc/openvpn/up.sh

După aceea, reporniți serverul OpenVPN cu comanda:

Executați comanda ifconfig, ar trebui să apară interfața atinge 0 fără o adresă IP.

Colectăm o arhivă cu chei pentru distribuire către angajații de la distanță și trimitere la biroul 2

Creați foldere cu nume de utilizator cu comenzi:

mkdir -p /etc/openvpn/users/server1 mkdir -p /etc/openvpn/users/client1 mkdir -p /etc/openvpn/users/client2

Creați un folder cu chei arhivate cu comanda:

Mkdir -p /etc/openvpn/users_tgz

Colectăm chei și certificate din folderele utilizatorilor cu comenzile:

cp /etc/openvpn/server/easy-rsa/keys/server1.key /etc/openvpn/users/server1/ cp /etc/openvpn/server/easy-rsa/keys/server1.crt /etc/openvpn/users/ server1/ cp /etc/openvpn/server/easy-rsa/keys/ca.crt /etc/openvpn/users/server1/ cp /etc/openvpn/server/easy-rsa/keys/client1.key /etc/openvpn/ users/client1/ cp /etc/openvpn/server/easy-rsa/keys/client1.crt /etc/openvpn/users/client1/ cp /etc/openvpn/server/easy-rsa/keys/ca.crt /etc/ openvpn/users/client1/ cp /etc/openvpn/server/easy-rsa/keys/client2.key /etc/openvpn/users/client2/ cp /etc/openvpn/server/easy-rsa/keys/client2.crt / etc/openvpn/users/client2/ cp /etc/openvpn/server/easy-rsa/keys/ca.crt /etc/openvpn/users/client2/

Creăm fișiere de configurare pe baza faptului că server1 este serverul de birou la distanță 2 și client1și client2 aceștia sunt angajați la distanță care se conectează la rețeaua VPN în afara Windows.

În loc de IP-SERVER-VPN, punem adresa IP externă a serverului OpenVPN.

Creați un fișier de configurare OpenVPN pentru server1:

echo "remote IP-SERVER-VPN 1195 client dev tap0 proto udp rezolv-retry infinit nobind persist-key persist-tun ca ca.crt cert server1.crt cheie server1.key comp-lzo verb 4 mute 20 verb 3 log-append / var/log/openvpn.log up /etc/openvpn/up.sh " > /etc/openvpn/users/server1/server1.conf

Arhivați cheile pentru server1 comanda:

Tar cf - /etc/openvpn/users/server1 | gzip -c -9 > /etc/openvpn/users_tgz/server1.tgz

client1:

echo "remote IP-SERVER-VPN 1195 client dev tap0 proto udp rezolv-retry infinit nobind persist-key persist-tun ca ca.crt cert client1.crt key client1.key comp-lzo verb 4 mute 20 verb 3" > /etc /openvpn/users/client1/client1.ovpn

Arhivam cheile pentru client1 cu comanda:

Tar cf - /etc/openvpn/users/client1 | gzip -c -9 > /etc/openvpn/users_tgz/client1.tgz

Creați un fișier de configurare pentru client2 comanda:

echo "remote IP-SERVER-VPN 1195 client dev tap0 proto udp rezolv-retry infinit nobind persist-key persist-tun ca ca.crt cert client2.crt key client2.key comp-lzo verb 4 mute 20 verb 3" > /etc /openvpn/users/client1/client2.ovpn

Arhivați cheile pentru client2 comanda:

Tar cf - /etc/openvpn/users/client2 | gzip -c -9 > /etc/openvpn/users_tgz/client2.tgz

Configurarea biroului serverului VPN 2

În instrucțiunile de mai sus, am instalat și configurat serverul VPN Debian GNU/Linux Folosind OpenVPN, am creat chei cu certificate pentru serverul de birou la distanță 2 și angajații de la distanță. Acum trebuie să conectăm biroul 1 la biroul 2 într-o singură rețea locală prin VPN.

Să presupunem că în office 2 avem un server Linux (gateway) instalat și configurat, care distribuie canalul de Internet pentru angajații office 2. Acest server are 2 plăci de rețea: eth0 - ISP și et1- retea locala, va fi inclusa in pod, si va avea un pool de adrese 10.10.10.100-254

Trebuie să instalăm software-ul cu comanda:

Aptitude instalează bridge-utils openvpn

Configurarea rețelei de server

Configuram reteaua pe baza faptului ca avem 2 placi de retea eth0- primeste internetul de la furnizor si prin acesta biroul 1 acceseaza internetul, precum si reteaua et1- inclus in switch-ul office 1 LAN, va fi inclus in bridge-ul cu interfata br0

Editați fișierul de configurare /etc/network/interfaces:

Vi /etc/network/interfaces

Auto lo iface lo inet loopback # furnizor de internet auto eth0 iface eth0 inet adresa statica 192.168.60.2 netmask 255.255.255.0 gateway 192.168.60.1 # local network auto eth0 iface eth0 inet static address netmask 192.15585 192.155.

Auto lo iface lo inet loopback # Înregistrăm bridge-ul, includem interfața tap0 VPN și placa de rețea eth1 în ea auto br0 iface br0 inet static # Adăugați interfața openvpn bridge_ports eth1 tap0 adresa 10.10.10.150 netmask 255.255.255.0 # auto Internet eth0 iface eth0 inet adresa statica 192.168.60.2 masca de retea 255.255.255.0 gateway 192.168.60.1

Salvați modificările și reporniți rețeaua cu comanda:

/etc/init.d/networking restart

După aceea, la executarea comenzii ifconfig ar trebui să existe un pod br0 cu IP 10.10.10.150 , interfata eth0 cu adresa IP 192.168.60.2 și interfață et1 nici o adresă IP așa cum este în bridge br0

Pentru computerele Office 2, emitem adrese IP computerelor fără a merge mai departe 10.10.10.150-254 , Unde 10.10.10.150 este adresa IP a serverului de birou 2.

Încărcați arhiva chei OpenVPN colectată de pe serverul VPN al biroului 1 pe serverul biroului 2 cu comanda:

Ssh -P22 /etc/openvpn/users_tgz/server1.tgz :/root/

Sau, dacă serverul 1 al biroului 2 nu are un IP permanent sau dinamic, vom îmbina cheile de la serverul VPN al biroului 2 cu comanda:

ssh -P22 :/etc/openvpn/users_tgz/server1.tgz /root/

Când vi se solicită o parolă, introduceți parola utilizatorului rădăcină , după introducerea parolei corecte, arhiva cu cheile este descărcată în folder /root/server1.tgz

Despachetați conținutul arhivei ( numai fișiere cheie fără foldere) /root/server1.tgzîntr-un folder /etc/openvpn/

Lăsați OpenVPN să ruleze scripturi:

În /etc/default/openvpn

OPTARGS=""

OPTARGS="--script-security 2"

Creați un script /etc/openvpn/up.sh lansat atunci când clientul VPN se conectează la serverul VPN:

Vi /etc/openvpn/up.sh #!/bin/sh brctl addif br0 tap0 brctl addif br0 eth1 ifconfig tap0 0.0.0.0 chmod +x /etc/openvpn/up.sh

Reporniți serverul OpenVPN cu comanda:

/etc/init.d/openvpn reporniți

La executarea comenzii ifconfig ar trebui să apară interfața. atinge 0 fără o adresă IP.

Acum poți să dai ping la computerele altui birou din ambele birouri, să folosești foldere partajate, imprimante, resurse ale unui alt birou și, de asemenea, să aranjezi lupte de joc biroul 1 împotriva biroului 2 :)

Pentru a verifica interfețele conectate la punte, rulați comanda:

spectacol brctl

Răspunsul sistemului:

Nume pod ID pod Interfețe activate STP br0 7000.003ds4sDsf6 nu eth1 tap0

Vedem placa noastră de rețea locală et1și o interfață virtuală OpenVPN atinge 0

Sarcina este finalizată, două birouri la distanță sunt conectate la o rețea locală.

Dacă articolul ți-a fost util, distribuie-l prietenilor făcând clic pe pictograma ta. rețea socialăîn partea de jos a acestui articol. Vă rugăm să comentați acest manual, v-a plăcut, a beneficiat? De asemenea, vă puteți abona pentru a primi notificări despre articole noi pe e-mailul dvs. de pe pagină

Și acum să luăm o scurtă pauză și să ne odihnim o jumătate de minut, ridicându-ne moralul pentru o muncă mai productivă, urmăriți videoclipul și zâmbim: