V mnohých organizáciách s viacerými pobočkami existuje potreba spojiť lokálne kancelárske siete do jednej podnikovej siete. Prepojovacie siete zvýši efektivitu podnikania a zníži náklady spojené so vzdialenými pobočkami. Sieťové prepojenie vzdialené kancelárie spoločnosti vám umožňujú riešiť nasledujúce problémy:

  • Práca zamestnancov všetkých kancelárií v jednej databáze (napríklad 1C)
  • Poskytovanie prístupu pre vzdialených zamestnancov k zdieľaným podnikovým zdrojom spoločnosti cez internet (vzdialený sieťový prístup)
  • Rýchla a pohodlná výmena dát medzi zamestnancami vzdialených pobočiek

Prepojovacie siete realizované prostredníctvom verejných internetových sietí, vzhľadom na to vyvstáva otázka bezpečnosti sieťového pripojenia a dôvernosti prenášaných informácií. Technológia VPN (Virtual Private Network) sa používa na bezpečné a bezpečné prepojenie dvoch sietí prostredníctvom verejných komunikačných kanálov.

Nastavenie VPN (virtuálnych privátnych sietí)

Nastavenie siete VPN(Virtuálne privátne siete) medzi kanceláriami spoločnosti (sieťové pripojenia) zabezpečujú šifrovanie prenášaných dát. V závislosti od potrieb zákazníka a existujúcej IT infraštruktúry môže byť sieť VPN vytvorená na základe softvérového alebo hardvérového komplexu. Pomerne bežným spôsobom vytvorenia VPN siete je nastavenie VPN na základe softvérového balíka, ktorý okrem implementácie VPN siete môže slúžiť ako firewall a filtrovať sieťovú prevádzku.

Vzdialený prístup k počítaču

Aj keď je téma otrepaná, napriek tomu sa veľa ľudí často stretáva s ťažkosťami - či už je to začínajúci správca systému alebo jednoducho pokročilý používateľ, ktorého nadriadení prinútili vykonávať funkcie špecialistu Enikey. Je to paradoxné, ale napriek množstvu informácií o sieťach VPN je hľadanie jasnej možnosti skutočným problémom. Navyše má človek dokonca dojem, že to jeden napísal, kým iní text drzo skopírovali. Výsledkom je, že výsledky vyhľadávania sú doslova preplnené množstvom nepotrebných informácií, z ktorých sa len zriedka dá vydolovať niečo, čo stojí za to. Preto som sa rozhodol žuť všetky nuansy vlastným spôsobom (možno to bude pre niekoho užitočné).

Čo je teda VPN? VPN (VirtuálneSúkromnésieť- virtuálna privátna sieť) je zovšeobecnený názov pre technológie, ktoré umožňujú poskytovanie jedného alebo viacerých sieťových pripojení (logickej siete) cez inú sieť (vrátane internetu). V závislosti od použitých protokolov a účelov môže VPN poskytovať tri typy pripojení: uzol-uzol, uzol-sieť A sieť-sieť. Ako sa hovorí, bez komentárov.

Stereotypická schéma VPN

VPN vám umožňuje jednoducho skombinovať vzdialeného hostiteľa s lokálnou sieťou spoločnosti alebo iného hostiteľa, ako aj spojiť siete do jednej. Výhoda je celkom zrejmá – z klienta VPN môžeme jednoducho pristupovať k podnikovej sieti. Okrem toho VPN tiež chráni vaše údaje prostredníctvom šifrovania.

Nepredstieram, že vám opíšem všetky princípy fungovania VPN, keďže existuje veľa odbornej literatúry a úprimne povedané, sám veľa vecí neviem. Ak je však vašou úlohou „Urob to!“, naliehavo sa musíte do témy zapojiť.

Pozrime sa na problém z mojej osobnej praxe, keď som potreboval cez VPN prepojiť dve kancelárie - centrálu a pobočku. Situáciu ešte skomplikoval fakt, že na centrále bol videoserver, ktorý mal prijímať video z IP kamery pobočky. Tu je úloha v skratke.

Riešení je veľa. Všetko závisí od toho, čo máte po ruke. Vo všeobecnosti sa VPN dá ľahko vybudovať pomocou hardvérového riešenia založeného na rôznych smerovačoch Zyxel. V ideálnom prípade sa môže stať aj to, že internet do oboch kancelárií distribuuje jeden poskytovateľ a potom nebudete mať vôbec žiadne problémy (stačí len kontaktovať poskytovateľa). Ak je spoločnosť bohatá, môže si dovoliť CISCO. Väčšinou sa ale všetko rieši pomocou softvéru.

A tu je výber skvelý - Open VPN, WinRoute (všimnite si, že je platený), nástroje operačného systému, programy ako Hamanchi (úprimne povedané, v zriedkavých prípadoch to môže pomôcť, ale neodporúčam sa na to spoliehať - bezplatná verzia má limit 5 hostiteľov a ďalšou významnou nevýhodou je, že celé vaše pripojenie závisí od hostiteľa Hamanchi, čo nie je vždy dobré). V mojom prípade by bolo ideálne použiť OpenVPN, bezplatný program, ktorý dokáže jednoducho vytvoriť spoľahlivé pripojenie VPN. Ale ako vždy pôjdeme cestou najmenšieho odporu.

V mojej pobočke je internet distribuovaný bránou založenou na klientskom Windows. Súhlasím, nie je to najlepšie riešenie, ale pre tri klientske počítače to stačí. Potrebujem vytvoriť server VPN z tejto brány. Keďže čítate tento článok, pravdepodobne ste si istí, že ste novým používateľom VPN. Preto pre vás uvádzam najjednoduchší príklad, ktorý mi v zásade vyhovuje.

Rodina Windows NT už má v sebe zabudované základné funkcie servera. Nastavenie servera VPN na jednom zo zariadení nie je ťažké. Ako server uvediem príklady snímok obrazovky Windows 7, ale všeobecné princípy budú rovnaké ako pre staré XP.

Upozorňujeme, že na prepojenie dvoch sietí je potrebné mali rôzny rozsah! Napríklad v centrále môže byť rozsah 192.168.0.x a v pobočke – 192.168.20.x (alebo akýkoľvek šedý rozsah IP). Toto je veľmi dôležité, takže buďte opatrní. Teraz môžete začať nastavovať.

Prejdite na server VPN v ovládacom paneli -> Centrum sietí a zdieľania -> zmeňte nastavenia adaptéra.

Teraz stlačením klávesu Alt vyvolajte ponuku. Tam v položke Súbor musíte vybrať „Nové prichádzajúce pripojenie“.

Začiarknite políčka pre používateľov, ktorí sa môžu prihlásiť cez VPN. Dôrazne odporúčam pridať nového používateľa, dať mu priateľské meno a priradiť heslo.

Keď to urobíte, musíte v ďalšom okne vybrať, ako sa budú používatelia pripájať. Začiarknite políčko „Cez internet“. Teraz stačí priradiť rozsah adries virtuálnej siete. Okrem toho si môžete vybrať, koľko počítačov sa môže zúčastniť výmeny údajov. V ďalšom okne vyberte protokol TCP/IP verzie 4, kliknite na „Vlastnosti“:

Na snímke obrazovky uvidíte, čo mám. Ak chcete, aby klient získal prístup do lokálnej siete, v ktorej sa nachádza server, jednoducho zaškrtnite políčko „Povoliť volajúcim prístup do lokálnej siete“. V časti „Prideľovanie IP adries“ odporúčam zadať adresy manuálne podľa princípu, ktorý som opísal vyššie. V mojom príklade som dal rozsah iba dvadsaťpäť adries, hoci som mohol jednoducho zadať dve alebo 255.

Potom kliknite na tlačidlo „Povoliť prístup“.

Systém automaticky vytvorí VPN server, ktorý bude sám čakať, kým sa k nemu niekto pripojí.

Teraz už zostáva len nastaviť klienta VPN. Na klientskom počítači tiež prejdite do Centra sietí a zdieľania a vyberte Nastavenie nového pripojenia alebo siete. Teraz budete musieť vybrať položku "Pripojenie k pracovisku"

Kliknite na „Použiť moje internetové pripojenie“ a teraz sa vám zobrazí okno, v ktorom budete musieť zadať adresu našej internetovej brány na pobočke. U mňa to vyzerá ako 95.2.x.x

Teraz môžete zavolať na pripojenie, zadať používateľské meno a heslo, ktoré ste zadali na serveri, a pokúsiť sa pripojiť. Ak je všetko správne, budete pripojení. V mojom prípade už môžem pingnúť ktorýkoľvek počítač na pobočke a požiadať o kameru. Teraz sa jeho mono ľahko pripojí k video serveru. Môžete mať niečo iné.

Prípadne pri pripájaní môže vyskočiť chyba 800, ktorá naznačuje, že niečo nie je v poriadku s pripojením. Ide buď o problém brány firewall klienta alebo servera. Nemôžem vám to povedať konkrétne - všetko sa určuje experimentálne.

Takto sme jednoducho vytvorili VPN medzi dvoma kanceláriami. Hráči môžu byť zjednotení rovnakým spôsobom. Nezabúdajte však, že to stále nebude plnohodnotný server a je lepšie použiť pokročilejšie nástroje, o ktorých budem hovoriť v nasledujúcich častiach.

Najmä v časti 2 sa pozrieme na nastavenie OPenVPN pre Windows a Linux.

Hlavným cieľom spojenia lokálnych kancelárskych sietí je poskytnúť transparentný prístup ku geograficky distribuovaným informačným zdrojom organizácie. Konsolidácia kancelárskych sietí vám umožňuje vyriešiť tieto najčastejšie problémy:

  • využívať jednočíslovú kapacitu kancelárskej PBX;
  • zabezpečiť oprávnenie používateľa na prístup k zdrojom (zdieľané priečinky, intranetová stránka, e-mail atď.) bez ohľadu na ich aktuálne umiestnenie;
  • poskytnúť zamestnancom organizácie bezpečný prístup k zdrojom umiestneným v rôznych kanceláriách (napríklad zabezpečiť, aby zamestnanci pracovali s podnikovým serverom 1C nainštalovaným v jednej z kancelárií);
  • práca na vzdialenom počítači pomocou terminálového prístupu (ovládanie na diaľku);
  • zvýšiť efektivitu a efektivitu služby technickej podpory prostredníctvom možnosti vzdialenej správy počítačov, serverov a iných zariadení, ako aj efektívneho využívania vstavaných nástrojov Windows na poskytovanie pomoci – Remote Assistant.

Metódy implementácie integrácie kancelárskych sietí

Na zjednotenie lokálnych sietí kancelárií a vzdialených pobočiek sa využíva technológia virtuálnej privátnej siete - VPN (Virtual Private Network). Táto technológia je určená na kryptografickú ochranu dát prenášaných cez počítačové siete. Virtuálna súkromná sieť je súbor sieťových pripojení medzi niekoľkými bránami VPN, ktoré šifrujú sieťovú prevádzku. Brány VPN sa tiež nazývajú kryptografické brány alebo kryptobrány.

Existujú dva spôsoby budovania jednej zabezpečenej podnikovej siete organizácie:

  1. používanie vybavenia a zodpovedajúceho rozsahu služieb poskytovateľa internetu;
  2. pomocou vlastného zariadenia umiestneného v centrále a pobočkách.

VPN a služby poskytuje poskytovateľ internetu

Toto riešenie je použiteľné, ak sú centrála a pobočky pripojené na internet prostredníctvom rovnakého poskytovateľa internetu. Ak sú pobočky spoločnosti roztrúsené po mestách a dokonca aj v rôznych krajinách, sotva sa nájde poskytovateľ, ktorý by vám vedel poskytnúť služby na požadovanej úrovni a ešte k tomu za prijateľnú cenu.

Ak sa vaše kancelárie nachádzajú v rovnakom meste, overte si u svojho poskytovateľa internetu, či dokáže spojiť lokálne siete vašich kancelárií do jednej siete. Možno bude toto riešenie pre vás z hľadiska nákladov optimálne.

Konsolidácia sietí kancelárií a pobočiek svojpomocne

Metóda kombinovania dvoch sietí pomocou technológie VPN sa v anglickej literatúre nazýva „Peer-to-Peer VPN“ alebo „site-to-site VPN“. Medzi týmito dvoma sieťami je vytvorený režim „transparentného šifrovania“. Protokol IPSec sa najčastejšie používa na šifrovanie a prenos prevádzky v sieťach IP.

Na organizáciu VPN pripojení (VPN tunelov) medzi centrálou a pobočkami malých firiem odporúčame použiť hardvérové ​​internetové brány (firewally) so vstavanou podporou VPN. Príkladom takýchto brán môže byť ZyXEL ZyWALL, Netgear Firewall, Check Point Safe@Office atď. Táto trieda produktov je určená pre použitie v malých firmách s priemerným počtom zamestnancov od 5 do 100 osôb. Tieto zariadenia sa ľahko konfigurujú, sú vysoko spoľahlivé a majú dostatočný výkon.

V centrále organizácie sú často inštalované softvérové ​​integrované riešenia zabezpečenia siete, ako napríklad Microsoft Internet Security and Acceleration Server 2006 (Microsoft ISA 2006), CheckPoint Express, CheckPoint VPN-1 Edge a ďalšie. Na riadenie týchto ochrán je potrebný vysokokvalifikovaný personál, ktorý je spravidla k dispozícii v centrále alebo je zapožičaný od outsourcingovej spoločnosti.

Bez ohľadu na použité vybavenie je všeobecná schéma na vybudovanie Peer-to-Peer VPN na bezpečnú kombináciu lokálnych sietí vzdialených kancelárií do jednej siete nasledovná:

Treba si tiež uvedomiť, že existujú špecializované hardvérové ​​kryptobrány, ako napríklad Cisco VPN Concentrator, „Continent-K“ atď. Ich pôsobnosťou sú siete stredných a veľkých spoločností, kde je potrebné zabezpečiť vysoký výkon pri šifrovaní sieťovej prevádzky , ako aj špeciálne možnosti. Poskytnite napríklad šifrovanie údajov v súlade s GOST ("kontinent-K").

Na čo si treba dať pozor pri výbere vybavenia

Pri výbere zariadenia na organizáciu virtuálnej súkromnej siete (VPN) musíte venovať pozornosť nasledujúcim vlastnostiam:

  1. počet súčasne podporovaných VPN tunelov;
  2. výkon;
  3. schopnosť filtrovať sieťovú prevádzku vo vnútri tunela VPN (táto funkcia nie je implementovaná vo všetkých internetových bránach);
  4. podpora riadenia kvality QoS (veľmi užitočné pri prenose hlasovej prevádzky medzi sieťami);
  5. kompatibilita s existujúcimi zariadeniami a aplikovanými technológiami.

Hardvérové ​​riešenia

Výhody riešení postavených na lacných hardvérových internetových bránach

  • Nízke náklady;
  • Vysoká spoľahlivosť (nie je potrebná záloha, po vypnutí napájania sa nič nepokazí);
  • Jednoduchosť podávania;
  • Nízka spotreba energie;
  • Zaberá málo miesta, môže byť inštalovaný kdekoľvek;
  • v závislosti od zvolenej platformy pre vybudovanie VPN je možné na VPN bránu nainštalovať doplnkové služby: antivírusové skenovanie internetovej prevádzky, detekciu útokov a prienikov a pod., čo výrazne zvyšuje celkovú úroveň zabezpečenia siete a znižuje celkové náklady na komplexné riešenie ochrany siete.

Nedostatky

  • Riešenie nie je škálovateľné, zvýšená produktivita sa dosahuje úplnou výmenou zariadenia;
  • Menej flexibilné v nastaveniach;
  • Integrácia s Microsoft Active Directory (alebo LDAP) nie je vo všeobecnosti podporovaná.

Softvérové ​​riešenia

Výhody softvérových riešení

  • flexibilita;
  • Škálovateľnosť, t.j. schopnosť zvýšiť produktivitu podľa potreby;
  • Úzka integrácia s Microsoft Active Directory (Microsoft ISA 2006, CheckPoint)

Nedostatky

  • Vysoká cena;
  • Zložitosť podávania.

Kde začať

Skôr ako začnete s výberom zariadenia a softvéru (ďalej len softvér) na implementáciu projektu kombinovania miestnych kancelárskych sietí do jednej siete cez VPN, musíte mať nasledujúce informácie:

  1. Definujte topológiu:
    • Sieťovaná (plne prepojená) – každá lokalita môže automaticky organizovať šifrované spojenie s akoukoľvek inou stránkou;
    • Hviezda (hviezda) - pobočky môžu organizovať zabezpečené spojenia s centrálnym miestom;
    • Hub a Spoke (spojenie cez hub) - pobočky sa môžu navzájom spájať cez hub centrálnej lokality;
    • Vzdialený prístup – používatelia a skupiny môžu vytvárať zabezpečené pripojenia k jednej alebo viacerým lokalitám;
    • Kombinácie vyššie uvedených metód (napríklad topológia Star with Mesh Center, v ktorej si vzdialené pobočky môžu vymieňať informácie so všetkými členmi centrálnej VPN, ktorá má sieťovanú topológiu).
  2. Počet pobočiek (koľko súčasných pripojení VPN musí podporovať zariadenie ústredia);
  3. Počet používateľov v centrále a v každej pobočke;
  4. Aké vybavenie a/alebo softvér sa používa v jednotlivých pobočkách (údaje sú potrebné na zohľadnenie možností využitia existujúcich zariadení a/alebo softvéru);
  5. Údaje o pripojení pobočiek do internetu: pridelenie IP adresy - dynamické alebo statické, rýchlosť komunikačného kanála;
  6. Aký prístup k riadeniu informačnej bezpečnosti (ochrana perimetra siete, antivírusová bezpečnosť) sa bude uplatňovať: centralizované riadenie centrály a pobočiek jedným bezpečnostným správcom (správcom systému), alebo každá pobočka má svojho správcu systému.

Pre minimalizáciu hrozby prieniku do siete centrály je potrebné venovať náležitú pozornosť ochrane sietí pobočiek organizácie. Používanie VPN nezaručuje spoľahlivú ochranu proti vniknutiu, pokiaľ nie sú bezpečne chránené aj pobočkové siete. Ak sa útočníkovi podarí získať neoprávnený prístup do pobočkovej siete, dostane sa aj do informačného systému centrály, keďže sieť centrály a pobočiek sú spojené do jednej siete cez VPN.

Existuje množstvo riešení, ktoré sú teraz obzvlášť žiadané klientmi. Jeden z nich pracuje v 1C alebo iných aplikáciách vzdialene na podnikovom serveri. Predstavme si, že máte server a potrebujete poskytnúť možnosť pracovať s údajmi a aplikáciami riaditeľovi, ktorý je stále na cestách, alebo účtovníkovi, ktorý pracuje z domu.

Nižšie popíšeme projekt, ktorý sme zrealizovali pre klienta so sídlom v Moskve a tromi divíziami v Yaroslale (kancelária, výroba a sklad). Dostali sme za úlohu zjednotiť kancelárie a oddelenia tak, aby sa práce vykonávali na diaľku v 1C nainštalovanom na serveri v Moskve a tiež bolo možné pracovať s dokumentmi a e-mailovým serverom umiestneným v centrále. Musíme tiež udržiavať servery a počítače na vzdialených miestach. Inými slovami, je potrebné vytvoriť jednotné prostredie, v ktorom môžu používatelia pracovať s bežnými dokumentmi (certifikáty, objednávky, faktúry), viesť online evidenciu a pracovať s elektronickou poštou.

Práca v 1C na diaľku

Hardvérový VPN router je nainštalovaný v každej kancelárii a oddelení, kde pracuje viac ako 1 osoba. Toto je zariadenie, ktoré na jednej strane umožňuje používateľom surfovať po internete a na druhej strane vytvárať kanály VPN. Kanál VPN je bezpečné šifrované pripojenie, tunel, ktorý umožňuje vašim používateľom voľne si vymieňať údaje a zároveň je zvonku neprístupný. Na vytvorenie takýchto kanálov sa používa protokol ipsec poskytujúce vysokú úroveň kryptografickej sily.

Na obrázku je znázornená schéma prepojenia dvoch kancelárií.

Pomocou dvoch smerovačov teda vieme zabezpečiť komunikáciu medzi úradmi.

Zdá sa, že 1C môžete spustiť na diaľku a pracovať. Žiaľ! Malo by sa pamätať na to, že tento kanál sa posiela ďalej cez internet, a preto má niekoľko obmedzení:

  • Spravidla musíte platiť za prevádzku;
  • Rýchlosť internetu, a teda aj šírka pásma takéhoto kanála, je relatívne nízka.

Spustením takéhoto vzdialeného 1C dostaneme situáciu „všetko visí“.

Problém je vyriešený použitím terminálového prístupu. Jeden zo serverov v centrále, ktorý má značné výpočtové možnosti, nakonfigurujeme ako terminálový server. Na tento účel sa používajú terminálové služby zabudované do systému Windows. Musíte nainštalovať a nakonfigurovať tento komponent, aktivovať licenčný server terminálových služieb a nainštalovať licencie. Potom ho musíte nainštalovať na server 1C a potom môžete pracovať v 1C na diaľku v termináli.

Technológia terminálového prístupu spočíva v tom, že všetky úlohy, ktoré spúšťate v termináli, sa fyzicky vykonávajú na vzdialenom serveri a na obrazovku sa vám prenáša iba obraz. Používateľ, ktorý spustil 1C v termináli z Jaroslavli, nemusí vedieť, že 1C beží vzdialene na serveri v Moskve.

Čo to dáva? Znížená premávka. Zvýšenie rýchlosti procesov spracovania vo vzdialenej databáze 1C. Možnosť pre ľudí pracovať odkiaľkoľvek na planéte s jednou databázou 1C na diaľku alebo s rovnakými súbormi.

Ale každý sud medu musí mať svoju muchu. V tomto prípade spočíva v tom, že kvalita a samotná možnosť práce v termináli závisí od spoľahlivosti internetového pripojenia. Kanál často stačí na surfovanie po internete, ale na prácu v termináli potrebujete pomerne spoľahlivý internet. Spoľahlivosťou nemáme na mysli ani tak rýchlosť, ako skôr absenciu straty paketov v sieti. Rádiové kanály používané mnohými poskytovateľmi teda často poskytujú veľmi vysoké špičkové rýchlosti, ale percento strát paketov môže dosiahnuť 10%. V tejto situácii bude terminálové pripojenie neustále prerušené a bude ťažké pracovať.

Ale vo väčšine prípadov sa nám podarí vytvoriť schopnosť pracovať v termináli so vzdialenými 1C aj inými aplikáciami. To umožňuje našim klientom dynamicky sa rozvíjať, minimalizovať náklady a zabezpečiť udržateľné fungovanie obchodných procesov.

Poznač si to práca na diaľku v 1C sa v súčasnosti stala pomerne rozšírenou technológiou, dostatočne osvedčenou, a ak je správne nakonfigurovaná, celkom bezpečnou a môže byť úspešne implementovaná v rámci.