В много организации с няколко клона има нужда от комбиниране на локални офис мрежи в една корпоративна мрежа. Свързване на мрежище повиши ефективността на бизнеса и ще намали разходите, свързани с отдалечени офиси. Взаимосвързаност на мрежатаотдалечените фирмени офиси ви позволяват да решите следните проблеми:

  • Работа на служителите на всички офиси в една база данни (например 1C)
  • Осигуряване на достъп на отдалечени служители до споделените корпоративни ресурси на компанията през Интернет (отдалечен мрежов достъп)
  • Бърз и удобен обмен на данни между служители на отдалечени офиси

Свързване на мрежиосъществявани чрез обществени интернет мрежи, с оглед на това възниква въпросът за сигурността на мрежовата връзка и поверителността на предаваната информация. Технологията VPN (Virtual Private Network) се използва за сигурно и защитено свързване на две мрежи чрез публични комуникационни канали.

Настройване на VPN (виртуални частни мрежи)

Настройка на VPN(Виртуални частни мрежи) между фирмени офиси (мрежови връзки) осигуряват криптиране на предаваните данни. В зависимост от нуждите на клиента и съществуващата ИТ инфраструктура може да се създаде VPN мрежа на базата на софтуерен или хардуерен комплекс. Доста често срещан начин за създаване на VPN мрежа е да се настрои VPN на базата на софтуерен пакет, който в допълнение към внедряването на VPN мрежа може да служи като защитна стена и да филтрира мрежовия трафик.

Отдалечен достъп до компютър

Въпреки че темата е изтъркана, въпреки това често много хора изпитват затруднения - било то начинаещ системен администратор или просто напреднал потребител, който е бил принуден от началниците си да изпълнява функциите на специалист на Enikey. Парадоксално е, но въпреки изобилието от информация за VPN, намирането на ясна опция е истински проблем. Нещо повече, дори се създава впечатлението, че един го е написал, а други нагло са преписали текста. В резултат на това резултатите от търсенето са буквално затрупани с изобилие от ненужна информация, от която рядко може да се извлече нещо полезно. Затова реших да дъвча всички нюанси по свой начин (може би ще бъде полезно за някого).

И така, какво е VPN? VPN (ВиртуаленЧастномрежа- виртуална частна мрежа) е обобщено наименование на технологии, които позволяват една или повече мрежови връзки (логическа мрежа) да бъдат предоставени през друга мрежа (включително Интернет). В зависимост от използваните протоколи и цели, VPN може да осигури три типа връзки: възел-възел, възел-мрежаИ мрежа-мрежа.Както се казва, без коментари.

Стереотипна VPN схема

VPN ви позволява лесно да комбинирате отдалечен хост с локалната мрежа на компания или друг хост, както и да комбинирате мрежи в една. Ползата е доста очевидна - можем лесно да имаме достъп до корпоративната мрежа от VPN клиента. Освен това VPN също така защитава вашите данни чрез криптиране.

Не претендирам да ви опиша всички принципи на работа на VPN, тъй като има много специализирана литература и, честно казано, аз самият не знам много неща. Ако обаче задачата ви е „Направи го!“, трябва спешно да се включите в темата.

Нека да разгледаме проблем от моята лична практика, когато трябваше да свържа два офиса чрез VPN - централен офис и клон. Ситуацията се усложняваше допълнително от факта, че в централата имаше видео сървър, който трябваше да получава видео от IP камерата на клона. Ето задачата накратко.

Има много решения. Всичко зависи от това какво имате под ръка. Като цяло VPN се изгражда лесно с помощта на хардуерно решение, базирано на различни рутери Zyxel. В идеалния случай може също така да се случи интернетът да се разпространява до двата офиса от един доставчик и тогава няма да имате никакви проблеми (просто трябва да се свържете с доставчика). Ако компанията е богата, значи може да си позволи CISCO. Но обикновено всичко се решава с помощта на софтуер.

И тук изборът е голям - Open VPN, WinRoute (имайте предвид, че е платен), инструменти на операционната система, програми като Hamanchi (честно казано, в редки случаи може да помогне, но не препоръчвам да разчитате на него - безплатната версия има ограничение от 5 хоста и друг значителен недостатък е, че цялата ви връзка зависи от хоста Hamanchi, което не винаги е добре). В моя случай би било идеално да използвам OpenVPN, безплатна програма, която може лесно да създаде надеждна VPN връзка. Но, както винаги, ще следваме пътя на най-малкото съпротивление.

В моя клон интернет се разпространява от шлюз, базиран на клиентски Windows. Съгласен съм, това не е най-доброто решение, но е достатъчно за три клиентски компютъра. Трябва да направя VPN сървър от този шлюз. Тъй като четете тази статия, вероятно сте сигурни, че сте нов в VPN. Затова за вас давам най-простия пример, който по принцип ме устройва.

Семейството на Windows NT вече има вградени елементарни сървърни възможности. Настройването на VPN сървър на една от машините не е трудно. Като сървър ще дам примери за екранни снимки на Windows 7, но общите принципи ще бъдат същите като за стария XP.

Моля, имайте предвид, че за да свържете две мрежи, трябва имаха различен обхват! Например в главния офис обхватът може да бъде 192.168.0.x, а в клона може да бъде 192.168.20.x (или всеки сив IP обхват). Това е много важно, така че внимавайте. Сега можете да започнете настройката.

Отидете на VPN сървъра в контролния панел -> Център за мрежи и споделяне -> променете настройките на адаптера.

Сега натиснете клавиша Alt, за да изведете менюто. Там, в елемента Файл, трябва да изберете „Нова входяща връзка“.

Поставете отметки в квадратчетата за потребители, които могат да влизат чрез VPN. Силно препоръчвам да добавите нов потребител, да му дадете приятелско име и да зададете парола.

След като направите това, трябва да изберете в следващия прозорец как потребителите ще се свързват. Поставете отметка в квадратчето „През интернет“. Сега просто трябва да зададете набор от виртуални мрежови адреси. Освен това можете да изберете колко компютъра могат да участват в обмена на данни. В следващия прозорец изберете TCP/IP протокол версия 4, щракнете върху „Свойства“:

Ще видите какво имам на екранната снимка. Ако искате клиентът да получи достъп до локалната мрежа, в която се намира сървърът, просто поставете отметка в квадратчето „Разрешаване на достъп на обаждащите се до локалната мрежа“. В раздела „Присвояване на IP адреси“ препоръчвам да посочите адреси ръчно според принципа, който описах по-горе. В моя пример дадох диапазона само от двадесет и пет адреса, въпреки че можех просто да посоча два или 255.

След това кликнете върху бутона „Разрешаване на достъп“.

Системата автоматично ще създаде VPN сървър, който самотно ще чака някой да се присъедини към него.

Сега всичко, което остава да направите, е да настроите VPN клиент. На клиентската машина също отидете в Центъра за мрежи и споделяне и изберете Настройка на нова връзка или мрежа. Сега ще трябва да изберете елемента „Свързване с работното място“

Кликнете върху „Използване на моята интернет връзка“ и сега ще бъдете изхвърлени през прозорец, където ще трябва да въведете адреса на нашия интернет портал в клона. При мен изглежда като 95.2.x.x

Сега можете да се обадите на връзката, въведете потребителското име и паролата, които сте въвели на сървъра, и опитайте да се свържете. Ако всичко е правилно, ще бъдете свързани. В моя случай вече мога да пингвам всеки клонов компютър и да поискам камера. Сега неговият моно е лесен за свързване към видео сървър. Може да имате нещо различно.

Като алтернатива, при свързване може да се появи грешка 800, което показва, че нещо не е наред с връзката. Това е проблем със защитната стена на клиент или сървър. Не мога да ви кажа конкретно - всичко се определя експериментално.

Ето как просто създадохме VPN между два офиса. Играчите могат да бъдат обединени по същия начин. Не забравяйте обаче, че това все още няма да бъде пълноценен сървър и е по-добре да използвате по-модерни инструменти, за които ще говоря в следващите части.

По-специално, в част 2 ще разгледаме настройката на OPenVPN за Windows и Linux.

Основната цел на комбинирането на локални офис мрежи е да се осигури прозрачен достъп до географски разпределените информационни ресурси на организацията. Консолидирането на офис мрежи ви позволява да разрешите следните най-често срещани проблеми:

  • използване на единичен номерен капацитет на офис PBX;
  • гарантиране на оторизация на потребителите за достъп до ресурси (споделени папки, интранет сайт, имейл и т.н.) независимо от текущото им местоположение;
  • осигурете сигурен достъп на служителите на организацията до ресурси, разположени в различни офиси (например, уверете се, че служителите работят с корпоративен сървър 1C, инсталиран в един от офисите);
  • работа на отдалечен компютър с помощта на терминален достъп (управление на отдалечен работен плот);
  • повишаване на ефективността и ефективността на услугата за техническа поддръжка чрез възможност за дистанционно управление на компютри, сървъри и друго оборудване, както и ефективно използване на вградените в Windows инструменти за оказване на помощ - Remote Assistant.

Методи за осъществяване на интеграция на офис мрежи

За обединяване на локални мрежи от офиси и отдалечени клонове се използва технологията за виртуална частна мрежа - VPN (Virtual Private Network). Тази технология е предназначена за криптографска защита на данни, предавани през компютърни мрежи. Виртуалната частна мрежа е колекция от мрежови връзки между няколко VPN шлюза, които криптират мрежовия трафик. VPN шлюзовете се наричат ​​още криптографски шлюзове или крипто-шлюзове.

Има два метода за изграждане на единна защитена корпоративна мрежа на организация:

  1. използване на оборудване и съответния набор от услуги на интернет доставчик;
  2. използвайки собствено оборудване, разположено в централата и клоновете.

VPN и услугите се предоставят от интернет доставчика

Това решение е приложимо, ако централата и клоновете са свързани към интернет чрез един и същ интернет доставчик. Ако клоновете на компанията са разпръснати в градове и дори в различни държави, малко вероятно е да има доставчик, който да ви предостави необходимото ниво на обслужване и дори на достъпна цена.

Ако вашите офиси се намират в рамките на един и същи град, проверете при вашия интернет доставчик дали могат да комбинират локалните мрежи на вашите офиси в една мрежа. Може би това решение ще бъде оптимално за вас по отношение на разходите.

Самостоятелно консолидиране на мрежи от офиси и клонове

Методът за комбиниране на две мрежи с помощта на VPN технология се нарича „Peer-to-Peer VPN“ или „site-to-site VPN“ в англоезичната литература. Между двете мрежи се установява режим на "прозрачно криптиране". Протоколът IPSec най-често се използва за криптиране и предаване на трафик в IP мрежи.

За да организирате VPN връзки (VPN тунели) между централния офис и клоновете на малки компании, препоръчваме да използвате хардуерни интернет шлюзове (защитни стени) с вградена VPN поддръжка. Пример за такива шлюзове може да бъде ZyXEL ZyWALL, Netgear Firewall, Check Point Safe@Office и др. Този клас продукти са предназначени за използване в малки компании със среден брой служители от 5 до 100 души. Тези устройства са лесни за конфигуриране, висока надеждност и достатъчна производителност.

В централния офис на една организация често се инсталират софтуерно интегрирани решения за мрежова сигурност, като Microsoft Internet Security and Acceleration Server 2006 (Microsoft ISA 2006), CheckPoint Express, CheckPoint VPN-1 Edge и други. За управлението на тези защити е необходим висококвалифициран персонал, който по правило е наличен в централния офис или нает от аутсорсинг компания.

Независимо от използваното оборудване, общата схема за изграждане на Peer-to-Peer VPN за сигурно комбиниране на локални мрежи от отдалечени офиси в една мрежа е следната:

Трябва също така да се отбележи, че има специализирани хардуерни крипто шлюзове, като Cisco VPN Concentrator, "Континент-К" и др. Техният обхват са мрежите на средни и големи компании, където е необходимо да се осигури висока производителност при криптиране на мрежовия трафик , както и специални възможности. Например, осигурете криптиране на данните в съответствие с GOST ("Континент-К").

На какво трябва да обърнете внимание при избора на оборудване

Когато избирате оборудване за организиране на виртуална частна мрежа (VPN), трябва да обърнете внимание на следните свойства:

  1. брой едновременно поддържани VPN тунели;
  2. изпълнение;
  3. възможността за филтриране на мрежовия трафик вътре в VPN тунел (тази функция не се прилага във всички интернет шлюзове);
  4. поддръжка за управление на качеството на QoS (много полезно при предаване на гласов трафик между мрежи);
  5. съвместимост със съществуващо оборудване и прилагани технологии.

Хардуерни решения

Предимства на решенията, изградени върху евтини хардуерни интернет портали

  • ниска цена;
  • Висока надеждност (няма нужда от резервно копие, нищо не се обърка, когато захранването е изключено);
  • Лекота на администриране;
  • Ниска консумация на енергия;
  • Заема малко място, може да се инсталира навсякъде;
  • в зависимост от избраната платформа за изграждане на VPN е възможно да се инсталират допълнителни услуги на VPN шлюза: антивирусно сканиране на интернет трафик, откриване на атаки и прониквания и др., което значително повишава общото ниво на мрежова сигурност и намалява общата цена на цялостно решение за мрежова защита.

недостатъци

  • Решението не е мащабируемо, постига се повишена производителност чрез пълна подмяна на оборудването;
  • По-малко гъвкави в настройките;
  • Интегрирането с Microsoft Active Directory (или LDAP) обикновено не се поддържа.

Софтуерни решения

Предимства на софтуерните решения

  • Гъвкавост;
  • Мащабируемост, т.е. способността за увеличаване на производителността, ако е необходимо;
  • Тясна интеграция с Microsoft Active Directory (Microsoft ISA 2006, CheckPoint)

недостатъци

  • висока цена;
  • Сложност на администрацията.

Откъде да започна

Преди да започнете да избирате оборудване и софтуер (наричани по-нататък софтуер) за реализиране на проект за комбиниране на локални офис мрежи в една мрежа чрез VPN, трябва да имате следната информация:

  1. Определете топологията:
    • Meshed (напълно свързан) - всеки сайт може автоматично да организира криптирана връзка с всеки друг сайт;
    • Star (звезда) - клоновете могат да организират сигурни връзки с централния сайт;
    • Hub and Spoke (връзка чрез хъб) - клоновете могат да се свързват помежду си чрез хъба на централния сайт;
    • Отдалечен достъп - потребителите и групите могат да организират защитени връзки към един или повече сайтове;
    • Комбинации от горните методи (например звезда с мрежова топология на центъра, при която отдалечените клонове могат да обменят информация с всички членове на централната VPN, която има мрежеста топология).
  2. Брой клонове (колко едновременни VPN връзки трябва да се поддържат от оборудването на централния офис);
  3. Брой потребители в централния офис и във всеки филиал;
  4. Какво оборудване и/или софтуер се използва във всеки клон (данните са необходими, за да се отчетат възможностите за използване на съществуващо оборудване и/или софтуер);
  5. Данни за свързване на клонове към Интернет: присвояване на IP адрес - динамичен или статичен, скорост на комуникационния канал;
  6. Какъв подход за управление на сигурността на информацията (защита на мрежовия периметър, антивирусна защита) ще се прилага: централизирано управление на централата и клоновете от един администратор по сигурността (системен администратор) или всеки клон има собствен системен администратор.

За да се сведе до минимум заплахата от проникване в мрежата на централния офис, е необходимо да се обърне нужното внимание на защитата на мрежите на клоновете на организацията. Използването на VPN не гарантира надеждна защита срещу проникване, освен ако клоновите мрежи също не са сигурно защитени. Ако нападателят успее да получи неоторизиран достъп до клоновата мрежа, той също ще може да получи достъп до информационната система на главния офис, тъй като централният офис и клоновите мрежи са комбинирани в една мрежа чрез VPN.

Има редица решения, които сега са особено търсени от клиентите. Един от тях работи в 1C или други приложения от разстояние на корпоративен сървър. Да си представим, че имате сървър и трябва да предоставите възможност за работа с данни и приложения на директор, който винаги пътува, или счетоводител, който работи от вкъщи.

По-долу ще опишем проект, който изпълнихме за клиент с централен офис в Москва и три подразделения в Ярослал (офис, производство и склад). Поставихме задачата да обединим офиси и отдели по такъв начин, че работата да се извършва дистанционно в 1C, инсталиран на сървър в Москва, и също така беше възможно да се работи с документи и имейл сървър, разположен в централния офис. Ние също трябва да поддържаме сървъри и компютри на отдалечени места. С други думи, необходимо е да се създаде единна среда, в която потребителите да могат да работят с общи документи (сертификати, поръчки, фактури), да водят записи онлайн и да работят с електронна поща.

Работа в 1C от разстояние

Хардуерен VPN рутер е инсталиран във всеки офис и отдел, където работят повече от 1 човек. Това е устройство, което позволява, от една страна, да позволява на потребителите да сърфират в Интернет, а от друга, да създава VPN канали. VPN каналът е защитена криптирана връзка, тунел, който позволява на вашите потребители свободно да обменят данни и в същото време е недостъпен отвън. За изграждането на такива канали се използва ipsec протокол, осигурявайки високо ниво на криптографска сила.

Фигурата показва схема на свързване на два офиса.

Така с помощта на два рутера можем да осигурим комуникация между офисите.

Изглежда, че можете да стартирате 1C дистанционно и да работите. Уви! Трябва да се помни, че този канал се препраща през интернет и следователно има редица ограничения:

  • По правило трябва да плащате за трафик;
  • Скоростта на интернет и следователно честотната лента на такъв канал е сравнително ниска.

Като стартираме такъв отдалечен 1C, получаваме ситуация „всичко виси“.

Проблемът се решава чрез използване на терминален достъп. Конфигурираме един от сървърите в централния офис, който има значителни изчислителни възможности, като терминален сървър. За целта се използват терминалните услуги, вградени в Windows. Трябва да инсталирате и конфигурирате този компонент, да активирате сървъра за лицензиране на терминални услуги и да инсталирате лицензи. След това трябва да го инсталирате на сървъра 1C и след това можете работа в 1C дистанционно в терминала.

Технологията за терминален достъп е, че всички задачи, които изпълнявате в терминала, се изпълняват физически на отдалечен сървър и само изображението се предава към вас на екрана. Потребител, който стартира 1C в терминал от Ярославъл, може да не знае, че 1C работи отдалечено на сървър в Москва.

Какво дава това? Намален трафик. Увеличаване на скоростта на процедурите за обработка в отдалечена 1C база данни. Възможността хората да работят от всяка точка на планетата с една 1C база данни от разстояние или със същите файлове.

Но във всяка бъчва мед трябва да има муха в мехлема. В този случай това се крие във факта, че качеството и самата възможност за работа в терминала зависят от надеждността на интернет връзката. Често каналът е достатъчен за сърфиране в интернет, но за работа в терминала ви е необходим доста надежден интернет. Под надеждност имаме предвид не толкова скорост, колкото липсата на загуба на пакети в мрежата. По този начин радиоканалите, използвани от много доставчици, често осигуряват много високи пикови скорости, но процентът на загуба на пакети може да достигне 10%. В тази ситуация връзката на терминала ще бъде прекъсната през цялото време и ще бъде трудно да работите.

Но в повечето случаи успяваме да установим способността да работим в терминала както с отдалечени 1C, така и с други приложения. Това позволява на нашите клиенти да се развиват динамично, да минимизират разходите и да гарантират устойчиво функциониране на бизнес процесите.

Забележете това дистанционна работа в 1Cсега се превърна в доста широко разпространена технология, достатъчно доказана и, ако е правилно конфигурирана, доста безопасна и може да бъде успешно внедрена в рамката.