Paljudes mitme filiaaliga organisatsioonides on vajadus ühendada kohalikud kontorivõrgud üheks ettevõtte võrguks. Võrkude ühendamine suurendab äritegevuse efektiivsust ja vähendab kaugkontoritega seotud kulusid. Võrguühendus ettevõtte kaugkontorid võimaldavad teil lahendada järgmisi probleeme:

Kõigi kontorite töötajate töö ühes andmebaasis (näiteks 1C)
Kaugtöötajatele juurdepääsu pakkumine ettevõtte jagatud ettevõtte ressurssidele Interneti kaudu (võrgu kaugjuurdepääs)
Kiire ja mugav andmevahetus kaugkontorite töötajate vahel

Võrkude ühendamine läbi avalike internetivõrkude, seda silmas pidades kerkib esile võrguühenduse turvalisuse ja edastatava teabe konfidentsiaalsuse küsimus. VPN (Virtual Private Network) tehnoloogiat kasutatakse kahe võrgu turvaliseks ja turvaliseks ühendamiseks avalike sidekanalite kaudu.

VPN-i (virtuaalsed privaatvõrgud) seadistamine

VPN-i seadistamine(Virtuaalsed privaatvõrgud) ettevõtte kontorite vahel (võrguühendused) tagavad edastatavate andmete krüptimise. Olenevalt kliendi vajadustest ja olemasolevast IT-infrastruktuurist saab luua tarkvara- või riistvarakompleksi baasil VPN-võrgu. Üsna levinud viis VPN-võrgu loomiseks on tarkvarapaketil põhineva VPN-i seadistamine, mis lisaks VPN-võrgu juurutamisele võib toimida tulemüürina ja võrguliiklust filtreerida.

Kaugjuurdepääs arvutisse

Kuigi teema on hakitud, kogevad paljud sellest hoolimata sageli raskusi - olgu selleks siis algaja süsteemiadministraator või lihtsalt edasijõudnud kasutaja, kelle ülemused sundisid Enikey spetsialisti ülesandeid täitma. See on paradoksaalne, kuid hoolimata VPN-ide kohta teabe rohkusest on selge valiku leidmine tõeline probleem. Pealegi jääb isegi mulje, et keegi kirjutas selle, teised aga kopeerisid jultunult teksti. Selle tulemusena on otsingutulemused sõna otseses mõttes täis ebavajaliku teabe rohkust, millest harva saab midagi väärt välja võtta. Seetõttu otsustasin kõik nüansid omal moel läbi närida (võib-olla on see kellelegi kasulik).

Mis on siis VPN? VPN (VirtuaalnePrivaatneVõrk- virtuaalne privaatvõrk) on üldistatud nimetus tehnoloogiatele, mis võimaldavad ühe või mitu võrguühendust (loogilist võrku) luua teise võrgu (sh Interneti) kaudu. Sõltuvalt kasutatavatest protokollidest ja eesmärkidest võib VPN pakkuda kolme tüüpi ühendusi: sõlm-sõlm, sõlme-võrk Ja võrk-võrk. Nagu öeldakse, pole kommentaare.

Stereotüüpne VPN-skeem

VPN võimaldab hõlpsasti ühendada kaughosti ettevõtte või mõne muu hosti kohaliku võrguga ning ühendada võrke üheks. Kasu on üsna ilmne – VPN-kliendi kaudu pääseme ettevõtte võrku hõlpsalt juurde. Lisaks kaitseb VPN teie andmeid ka krüptimise kaudu.

Ma ei pretendeeri kirjeldada teile kõiki VPN-i toimimise põhimõtteid, kuna erialakirjandust on palju ja ausalt öeldes ei tea ma ise paljusid asju. Kui aga sinu ülesandeks on “Tee ära!”, pead kiiremas korras teemas kaasa lööma.

Vaatame probleemi minu isiklikust praktikast, kui mul oli vaja VPN-i kaudu ühendada kaks kontorit - peakontor ja harukontor. Olukorra tegi veelgi keerulisemaks asjaolu, et peakontoris oli videoserver, mis pidi filiaali IP-kaamerast videot vastu võtma. Siin on ülesanne lühidalt.

Lahendusi on palju. Kõik sõltub sellest, mis teil käepärast on. Üldiselt on VPN-i lihtne luua, kasutades riistvaralahendust, mis põhineb erinevatel Zyxeli ruuteritel. Ideaalis võib juhtuda ka nii, et internetti jagab mõlemasse kontorisse üks pakkuja ja siis pole teil üldse probleeme (peate lihtsalt pakkujaga ühendust võtma). Kui ettevõte on rikas, saab ta endale CISCOt lubada. Kuid tavaliselt lahendatakse kõik tarkvara abil.

Ja siin on valik suur - avatud VPN, WinRoute (pange tähele, et see on tasuline), operatsioonisüsteemi tööriistad, programmid nagu Hamanchi (ausalt öeldes võib see harvadel juhtudel aidata, kuid ma ei soovita sellele loota - tasuta versioonil on limiit 5 hosti ja veel üks oluline puudus on see, et kogu teie ühendus sõltub Hamanchi hostist, mis pole alati hea). Minu puhul oleks ideaalne kasutada OpenVPN-i, tasuta programmi, millega saab hõlpsasti luua usaldusväärse VPN-ühenduse. Kuid nagu alati, läheme kergema vastupanu teed.

Minu filiaalis levitab Internetti klient Windowsil põhinev lüüs. Nõustun, see pole parim lahendus, kuid kolmele klientarvutile piisab. Pean sellest lüüsist tegema VPN-serveri. Kuna loete seda artiklit, olete tõenäoliselt kindel, et olete VPN-i uus kasutaja. Seetõttu toon teile kõige lihtsama näite, mis mulle põhimõtteliselt sobib.

Windows NT perekonnal on juba algelised serverivõimalused sisse ehitatud. VPN-serveri seadistamine ühes masinas pole keeruline. Serverina toon näiteid Windows 7 ekraanipiltidest, kuid üldpõhimõtted on samad, mis vana XP puhul.

Pange tähele, et kahe võrgu ühendamiseks peate seda tegema neil oli erinev ulatus! Näiteks peakontoris võib vahemik olla 192.168.0.x ja filiaalis 192.168.20.x (või mis tahes hall IP-vahemik). See on väga oluline, seega olge ettevaatlik. Nüüd saate alustada seadistamist.

Avage VPN-server menüüs Juhtpaneel -> Võrgu- ja ühiskasutuskeskus -> muuda adapteri sätteid.

Nüüd vajutage menüü kuvamiseks klahvi Alt. Seal peate faili üksuses valima "Uus sissetulev ühendus".

Märkige nende kasutajate ruudud, kes saavad VPN-i kaudu sisse logida. Soovitan soojalt lisada uus kasutaja, anda talle sõbralik nimi ja määrata parool.

Kui olete seda teinud, peate järgmises aknas valima, kuidas kasutajad ühenduse loovad. Märkige ruut "Interneti kaudu". Nüüd peate lihtsalt määrama virtuaalse võrguaadressi vahemiku. Lisaks saate valida, mitu arvutit saab andmevahetuses osaleda. Järgmises aknas valige TCP/IP versiooni 4 protokoll, klõpsake nuppu "Atribuudid":

Näete, mis mul ekraanipildil on. Kui soovite, et klient saaks juurdepääsu kohalikule võrgule, kus server asub, märkige lihtsalt ruut "Luba helistajatel juurdepääs kohalikule võrgule". Jaotises "IP-aadresside määramine" soovitan määrata aadressid käsitsi vastavalt ülalkirjeldatud põhimõttele. Oma näites andsin vahemikule ainult kakskümmend viis aadressi, kuigi oleksin võinud lihtsalt määrata kaks või 255.

Pärast seda klõpsake nuppu "Luba juurdepääs".

Süsteem loob automaatselt VPN-serveri, mis jääb üksikult ootama, kuni keegi sellega liitub.

Nüüd jääb üle vaid VPN-kliendi seadistamine. Kliendiseadmes minge ka võrgu- ja ühiskasutuskeskusesse ja valige Uue ühenduse või võrgu seadistamine. Nüüd peate valima üksuse "Ühendumine töökohaga"

Klõpsake "Kasuta minu Interneti-ühendust" ja nüüd visatakse teid välja aknast, kuhu peate sisestama meie esinduses oleva Interneti-lüüsi aadressi. Minu jaoks näeb see välja nagu 95.2.x.x

Nüüd saate ühendusele helistada, sisestada serverisse sisestatud kasutajanime ja parooli ning proovida ühendust luua. Kui kõik on õige, ühendatakse teid. Minu puhul võin juba pingida mis tahes haruarvutit ja taotleda kaamerat. Nüüd on selle mono-videoserveriga lihtne ühendada. Teil võib olla midagi muud.

Teise võimalusena võib ühenduse loomisel ilmuda tõrge 800, mis näitab, et ühendusega on midagi valesti. See on kas kliendi või serveri tulemüüri probleem. Ma ei saa teile konkreetselt öelda - kõik määratakse eksperimentaalselt.

Nii lõime lihtsalt VPN-i kahe kontori vahel. Mängijaid saab ühendada samamoodi. Kuid ärge unustage, et see ei ole ikkagi täisväärtuslik server ja parem on kasutada täiustatud tööriistu, millest räägin järgmistes osades.

Eelkõige käsitleme 2. osas OPenVPN-i seadistamist Windowsi ja Linuxi jaoks.

Kohalike kontorivõrkude ühendamise peamine eesmärk on tagada läbipaistev juurdepääs organisatsiooni geograafiliselt hajutatud teaberessurssidele. Kontorivõrkude ühendamine võimaldab teil lahendada järgmised levinumad probleemid:

kasutada kontori PBX ühe numbri mahtu;
tagama kasutaja volitused juurdepääsuks ressurssidele (jagatud kaustad, siseveebisait, e-post jne) olenemata nende praegusest asukohast;
tagama organisatsiooni töötajatele turvalise juurdepääsu erinevates kontorites asuvatele ressurssidele (näiteks tagage, et töötajad töötaksid ühte kontorisse installitud ettevõtte 1C serveriga);
töötada kaugarvutis, kasutades terminali juurdepääsu (kaugjuhtimine);
suurendada tehnilise toe teenuse tõhusust ja efektiivsust arvutite, serverite ja muude seadmete kaughaldamise võimaluse kaudu, samuti sisseehitatud Windowsi tööriistade tõhusa kasutamise abil abi osutamiseks - Remote Assistant.

Kontorivõrkude integreerimise elluviimise meetodid

Kontorite ja kaugkontorite kohalike võrkude ühendamiseks kasutatakse virtuaalse privaatvõrgu tehnoloogiat - VPN (Virtual Private Network). See tehnoloogia on mõeldud arvutivõrkude kaudu edastatavate andmete krüptograafiliseks kaitsmiseks. Virtuaalne privaatvõrk on võrguühenduste kogum mitme VPN-lüüsi vahel, mis krüpteerivad võrguliiklust. VPN-lüüsi nimetatakse ka krüptograafilisteks lüüsideks või krüptolüüsideks.

Organisatsiooni ühtse turvalise korporatiivse võrgu loomiseks on kaks meetodit:

Interneti-teenuse pakkuja seadmete ja vastava teenustevaliku kasutamine;
kasutades meie peakontoris ja filiaalides asuvaid seadmeid.

VPN-i ja teenuseid pakub Interneti-teenuse pakkuja

See lahendus on rakendatav, kui peakontor ja filiaalid on Internetiga ühendatud sama Interneti-teenuse pakkuja kaudu. Kui ettevõtte filiaalid asuvad linnades ja isegi erinevates riikides laiali, siis vaevalt leidub pakkujat, kes suudaks pakkuda teile vajalikul tasemel teenust ja seda isegi taskukohase hinnaga.

Kui teie kontorid asuvad samas linnas, küsige oma Interneti-teenuse pakkujalt, kas nad saavad teie kontorite kohalikud võrgud ühendada üheks võrguks. Võib-olla on see lahendus teie jaoks kulude osas optimaalne.

Esinduste ja filiaalide võrgustike koondamine iseseisvalt

Kahe võrgu ühendamise meetodit VPN-tehnoloogia abil nimetatakse ingliskeelses kirjanduses "Peer-to-Peer VPN" või "site-to-site VPN". Kahe võrgu vahel luuakse "läbipaistva krüptimise" režiim. IPSec-protokolli kasutatakse kõige sagedamini IP-võrkude liikluse krüptimiseks ja edastamiseks.

VPN-ühenduste (VPN-tunnelite) korraldamiseks väikeettevõtete keskkontori ja filiaalide vahel soovitame kasutada riistvaralisi Interneti-lüüsi (tulemüüri), millel on sisseehitatud VPN-i tugi. Selliste lüüside näideteks võivad olla ZyXEL ZyWALL, Netgear Firewall, Check Point Safe@Office jne. See tooteklass on mõeldud kasutamiseks väikestes ettevõtetes, kus töötab keskmiselt 5–100 inimest. Neid seadmeid on lihtne konfigureerida, need on väga töökindlad ja neil on piisav jõudlus.

Organisatsiooni peakontorisse paigaldatakse sageli tarkvaraga integreeritud võrguturbelahendusi, nagu Microsoft Internet Security and Acceleration Server 2006 (Microsoft ISA 2006), CheckPoint Express, CheckPoint VPN-1 Edge jt. Nende kaitsete haldamiseks on vaja kõrgelt kvalifitseeritud töötajaid, kes on reeglina olemas kas peakontoris või laenatud allhankefirmalt.

Sõltumata kasutatavast seadmest on kaugkontorite kohalike võrkude turvaliseks üheks võrguks ühendamiseks peer-to-peer VPN-i koostamise üldine skeem järgmine:

Samuti tuleb märkida, et on olemas spetsiaalsed riistvaralised krüptolüüsid, nagu Cisco VPN Concentrator, "Continent-K" jne. Nende ulatus on keskmiste ja suurte ettevõtete võrgud, kus võrguliikluse krüptimisel on vaja tagada kõrge jõudlus. , aga ka erivõimalusi. Näiteks andke andmete krüpteerimine vastavalt GOST-ile ("Continent-K").

Millele tuleb varustuse valimisel tähelepanu pöörata

Virtuaalse privaatvõrgu (VPN) korraldamiseks seadmete valimisel peate pöörama tähelepanu järgmistele omadustele:

samaaegselt toetatud VPN-tunnelite arv;
esitus;
võimalus filtreerida võrguliiklust VPN-tunnelis (seda funktsiooni ei rakendata kõigis Interneti-lüüsides);
QoS kvaliteedihalduse tugi (väga kasulik kõneliikluse edastamisel võrkude vahel);
ühilduvus olemasolevate seadmete ja rakendatud tehnoloogiatega.

Riistvaralahendused

Odavatele riistvaralistele Interneti-lüüsidele ehitatud lahenduste eelised

Odav;
Kõrge töökindlus (ei vaja varundamist, toite väljalülitamisel ei lähe midagi valesti);
Manustamise lihtsus;
Madal energiatarve;
Võtab vähe ruumi, saab paigaldada kõikjale;
olenevalt VPN-i ehitamiseks valitud platvormist on VPN-lüüsile võimalik paigaldada lisateenuseid: Interneti-liikluse viirusetõrje skannimine, rünnete ja sissetungide tuvastamine jne, mis tõstab oluliselt üldist võrguturbe taset ja vähendab tervikliku võrgukaitselahenduse kogumaksumus.

Puudused

Lahendus ei ole skaleeritav; tootlikkuse tõus saavutatakse seadmete täieliku väljavahetamisega;
Seadetes vähem paindlik;
Integreerimist Microsoft Active Directoryga (või LDAP-ga) üldiselt ei toetata.

Tarkvaralahendused

Tarkvaralahenduste eelised

Paindlikkus;
Skaleeritavus, st. võime suurendada tootlikkust vastavalt vajadusele;
Tihe integratsioon Microsoft Active Directoryga (Microsoft ISA 2006, CheckPoint)

Puudused

Kõrge hind;
Manustamise keerukus.

Kust alustada

Enne kohalike kontorivõrkude VPN-i kaudu üheks võrguks ühendamise projekti elluviimiseks seadmete ja tarkvara (edaspidi tarkvara) valimist peab teil olema järgmine teave:

Määratlege topoloogia:
- Meshed (täielikult ühendatud) - iga sait saab automaatselt korraldada krüpteeritud ühenduse mis tahes teise saidiga;
- Täht (täht) - filiaalid saavad korraldada turvalisi ühendusi keskse saidiga;
- Hub ja Spoke (ühendus jaoturi kaudu) - harud saavad üksteisega ühendada keskse saidi jaoturi kaudu;
- Kaugjuurdepääs – kasutajad ja rühmad saavad luua turvalise ühenduse ühe või mitme saidiga;
- Ülaltoodud meetodite kombinatsioonid (näiteks Star with Meshed Centeri topoloogia, kus kaugharud saavad vahetada teavet kõigi keskse VPN-i liikmetega, millel on võrgusilma topoloogia).
Filiaalide arv (mitu samaaegset VPN-ühendust peab peakontori seadmed toetama);
Kasutajate arv keskkontoris ja igas esinduses;
milliseid seadmeid ja/või tarkvara igas harus kasutatakse (andmed on vajalikud olemasoleva seadmete ja/või tarkvara kasutusvõimaluste arvestamiseks);
Andmed filiaalide ühendamise kohta Internetiga: IP-aadressi määramine - dünaamiline või staatiline, sidekanali kiirus;
Millist lähenemist infoturbe juhtimisel (võrgu perimeetri kaitse, viirusetõrje) rakendama hakatakse: peakontori ja filiaalide tsentraliseeritud haldamine ühe turvaadministraatori (süsteemiadministraatori) poolt või on igal filiaalil oma süsteemiadministraator.

Keskkontori võrku tungimise ohu minimeerimiseks on vaja pöörata piisavalt tähelepanu organisatsiooni filiaalide võrkude kaitsmisele. VPN-i kasutamine ei taga usaldusväärset kaitset sissetungimise eest, välja arvatud juhul, kui haruvõrgud on samuti turvaliselt kaitstud. Kui ründajal on võimalik saada volitamata ligipääs haruvõrgule, pääseb ta ligi ka peakontori infosüsteemile, kuna peakontori ja harukontori võrgud ühendatakse VPN-i kaudu üheks võrguks.

On mitmeid lahendusi, mida kliendid praegu eriti nõuavad. Üks neist töötab 1C-s või muudes rakendustes ettevõtte serveris eemalt. Kujutagem ette, et teil on server ja peate andma andmete ja rakendustega töötamise võimaluse alati reisivale direktorile või raamatupidajale, kes töötab kodus.

Allpool kirjeldame projekti, mille lõpetasime kliendi jaoks, kelle peakontor asub Moskvas ja kolm osakonda Yaroslal (kontor, tootmine ja ladu). Saime ülesandeks ühendada kontorid ja osakonnad nii, et töö toimus eemalt Moskvas serverisse paigaldatud 1C-s, samuti oli võimalik töötada dokumentide ja keskkontoris asuva meiliserveriga. Samuti peame hoidma servereid ja arvuteid kaugetes asukohtades. Teisisõnu on vaja luua ühtne keskkond, kus kasutajad saavad töötada ühiste dokumentidega (sertifikaadid, tellimused, arved), pidada arvestust veebis ja töötada e-postiga.

1C kaugtöö

Riistvaraline VPN-ruuter on paigaldatud igasse kontorisse ja osakonda, kus töötab rohkem kui 1 inimene. See on seade, mis võimaldab ühelt poolt kasutajatel Internetis surfata ja teisest küljest luua VPN-kanaleid. VPN-kanal on turvaline krüpteeritud ühendus, tunnel, mis võimaldab teie kasutajatel vabalt andmeid vahetada ja on samal ajal väljast ligipääsmatu. Seda kasutatakse selliste kanalite ehitamiseks ipsec protokoll, pakkudes kõrgetasemelist krüptograafilist tugevust.

Joonisel on kahe kontori ühendamise skeem.

Seega saame kahe ruuteri abil tagada kontoritevahelise suhtluse.

Näib, et saate 1C kaugjuhtimisega käivitada ja töötada. Paraku! Tuleb meeles pidada, et see kanal edastatakse Interneti kaudu ja seetõttu on sellel mitmeid piiranguid:

Reeglina tuleb liikluse eest maksta;
Interneti kiirus ja seega ka sellise kanali ribalaius on suhteliselt madal.

Sellise kaugjuhtimispuldi 1C käivitamisega tekib olukord, kus „kõik ripub”.

Probleem lahendatakse terminali juurdepääsu abil. Konfigureerime ühe keskkontori serveritest, millel on märkimisväärsed arvutusvõimalused, terminaliserveriks. Selleks kasutatakse Windowsi sisseehitatud terminaliteenuseid. Peate selle komponendi installima ja konfigureerima, aktiveerima terminaliteenuste litsentsimisserveri ja installima litsentsid. Pärast seda peate selle 1C serverisse installima ja pärast seda saate töötada 1C-s kaugjuhtimisega terminalis.

Terminali juurdepääsu tehnoloogia seisneb selles, et kõiki terminalis käivitatavaid ülesandeid teostatakse füüsiliselt kaugserveris ja teile edastatakse ekraanil ainult pilt. Kasutaja, kes käivitas 1C Jaroslavlist terminalis, ei pruugi teada, et 1C töötab kaugjuhtimisega Moskva serveris.

Mida see annab? Vähendatud liiklus. Töötlemisprotseduuride kiiruse suurendamine 1C kaugandmebaasis. Inimeste võimalus töötada kõikjal planeedil ühe 1C andmebaasi kaugjuhtimise teel või samade failidega.

Kuid igal meetünnil peab olema kärbsus. Sel juhul seisneb asi selles, et Interneti-ühenduse töökindlusest sõltub kvaliteet ja terminalis töötamise võimalus. Tihti piisab Internetis surfamiseks kanalist, kuid terminalis töötamiseks on vaja üsna usaldusväärset Internetti. Usaldusväärsuse all ei pea me silmas mitte niivõrd kiirust, kuivõrd pakettide kadumise puudumist võrgus. Seega pakuvad paljude pakkujate kasutatavad raadiokanalid sageli väga kõrgeid tippkiirusi, kuid pakettide kadude protsent võib ulatuda 10% -ni. Sellises olukorras katkeb terminaliühendus kogu aeg ja sellega on raske töötada.

Kuid enamikul juhtudel õnnestub meil luua võimalus terminalis töötada nii kaug-1C kui ka muude rakendustega. See võimaldab meie klientidel dünaamiliselt areneda, minimeerida kulusid ja tagada äriprotsesside jätkusuutlik toimimine.

Pange tähele, et kaugtöö 1C-s on nüüdseks muutunud üsna laialt levinud tehnoloogiaks, mis on piisavalt tõestatud ja õige konfigureerimise korral üsna ohutu ning seda saab raamistikus edukalt rakendada.