Консолидация на корпоративни офиси, базирани на VPN технологии. VPN връзка: какво е това и за какво е VPN канал?

Организиране на корпоративна VPN мрежа на базата на системата ViPNet от Infotec

• Използвайки само вътрешно симетрично криптиране, хеширане и асиметрично криптиранеи електронен цифров подпис (ГОСТ 28147-89, ГОСТ 34.11-94, ГОСТ 34.10-2001)
• Наличие на FSTEC и FSB сертификати както за криптографски продукти, така и за продукти като цяло (за софтуерни и хардуерни системи)
• Сертифицирани решения за защитна стена
• Организиране на специални условия за достъп до отворени мрежи (невъзможност за едновременен достъп до ресурси на отворени мрежи и защитена мрежа)
• Защита на предаваните данни чрез криптиране на всички сегменти на мрежата (всички участъци на преминаване на данни, започващи от работната станция).

Типично решение се състои в следното функционални компоненти(виж фиг. 2):

Фиг.2

• Работно място на администратора – софтуерен пакет за първоначалната настройкаи управление на виртуална частна мрежа.
• Софтуер ViPNet клиент(клиентски софтуер) – софтуер, инсталиран на всяка работна станция (или сървър с операционна система MS Windows), за която е необходимо да се осигури криптографска защита на предаваните данни - изпълнява функциите на криптиране на трафика и персонална защитна стена.
• Крипто шлюзът е софтуерно-хардуерен комплекс (специализирано устройство), който изпълнява функциите на маршрутизиране, прекратяване на тунели на виртуална частна мрежа и корпоративна защитна стена
• Отвореният интернет сървър е софтуерно-хардуерен комплекс, който изпълнява функцията на защитен прокси сървър за достъп до интернет ресурси.

Моля, имайте предвид, че задачата тук не е да обясните всичко задълбочено и технически правилно, задачата е да го обясните „на пръсти“, така че дори начинаещите потребители да могат да разберат. Надявам се да се получи. Ако имате въпроси, задайте ги в коментарите.

Същността на това как работи VPN сървърът е следната:. Например искате да отидете на уебсайта yandex.ru. По-точно, свържете се със сървър с IP 77.88.21.11 (жителите на източните региони на Русия могат да бъдат изпратени до сървър с различен IP, но това не е важно). Когато работите без VPN, вашият компютър изпраща пакет (може да се каже заявка) директно към сървъра с адрес 77.88.21.11 и получава отговор от него. Когато работите чрез VPN, компютърът ви изпраща пакет до VPN сървъра, VPN сървърът изпраща точно същия пакет до 77.88.21.11, 77.88.21.11 изпраща отговор до VPN сървъра (тъй като VPN сървърът първоначално изпрати заявка) и VPN сървърът изпраща този пакет до вашия компютър.

какво имаме Заявките до адрес 77.88.21.11 се изпращат не от вашия компютър, а от VPN; съответно сървърът 77.88.21.11 записва IP адреса на VPN сървъра, а не вашия компютър.

Една от възможните причини VPN приложения – трябва да скриете своя IP адрес.

Други употреби – необходимост от промяна на маршрута на движение. Да вземем пример от живота. Авторът на тази статия живее в град Орел (Централна Русия) и иска да се свърже със сървъра yunpan.360.cn, намиращ се в Пекин. Авторът използва (или по-скоро използва по това време) услугите на интернет доставчика Beeline. Както е показано от командата tracert yunpan.360.cn, въведена в командния ред Windows линия, изходящият интернет трафик към този китайски сървър минава през Съединените щати. Следата не показва как трафикът се връща обратно, но съдейки по пинга, следва приблизително същия маршрут. По-долу е екранна снимка от VisualRoute 2010.

Това маршрутизиране се дължи на факта, че Beeline не е платила на опорните интернет доставчици за по-директен канал до Китай.

При този маршрут се получават големи загуби на пакети, скоростта е ниска и пингът е огромен.

Какво да правя? Използвайте VPN. Това е VPN сървър, към който имаме директен маршрут и от който има директен маршрут към yunpan.360.cn. Аз (авторът на статията) търсих приемливо решение много дълго време и в крайна сметка го намерих. Беше нает виртуален сървър (какво е това, ще бъде обсъдено по-късно) в Красноярск (незабавно си представете къде се намира град Красноярск) от хостинг доставчик. Проследяването до сървъра показа, че трафикът пътува през Русия, пингът беше 95 ms (имах мобилен LTE (4G) интернет, при кабелен интернет пингът щеше да бъде с 5-10 ms по-нисък).

Пинг– това е забавянето на интернет сигнала. Измерва се закъснението за преминаване на интернет трафик в двете посоки (отиване и връщане). Измерете забавянето само в една посока стандартни средствае невъзможно, тъй като вашият компютър изпраща заявка до ping сървъра и записва времето, необходимо за пристигането на отговора.

В следите пингът до всяка точка (до всяка точка от маршрута, иначе наричан hop-hop) също се показва за трафик в двете посоки.

Често се случва маршрутът да е различен в различните посоки.

След това беше направено проследяване от сървъра в Красноярск до yunpan.360.cn. Ping е около 150 ms. Проследяването показа, че трафикът от сървъра на Красноярск към китайския преминава през директен пиъринг (междумрежово взаимодействие) между доставчиците на Transtelecom и China Telecom.

Ето тази следа (направена от Linux):

tracepath yunpan.360.cn
1?: pmtu 1500
1: srx.optibit.ru 0.361ms
1: srx.optibit.ru 0.381ms
2: border-r4.g-service.ru 0.392ms
3: kyk02.transtelecom.net 0,855ms asymm 5
4: 10.25.27.5 112.987ms asymm 8
5: ChinaTelecom-gw.transtelecom.net 125.707ms asymm 7
6: 202.97.58.113 119.092ms asymm 7
7: 202.97.53.161 120.842ms asymm 8
8: няма отговор
9: 220.181.70.138 122.342ms asymm 10
10: 223.202.72.53 116.530ms asymm 11
11: 223.202.73.86 134.029ms asymm 12
12: без отговор

какво виждаме Сървърът в Красноярск се хоства от optibit.ru (хостингът е услуга за поставяне и наемане на сървърен капацитет) и е свързан с интернет доставчика „Igra-Service“ (g-service.ru). Igra-Service от своя страна изпраща трафик към yunpan.360.cn чрез големия руски доставчик на опорни мрежи Transtelecom (за което му плаща пари). TTK насочва трафика чрез директната си връзка към мрежата на китайския опорен доставчик China Telecom, домейнът ChinaTelecom-gw.transtelecom.net ни казва това.

Нека си спомним какъв беше нашият проблем. Нашият трафик към този китайски сървър минаваше през САЩ, скоростта беше ниска. Какво съм направил? Инсталирах VPN на този сървър в Красноярск. И конфигурирах компютъра си да работи през този VPN сървър. Какво стана? Сега трафикът към yunpan.360.cn не вървеше по стария маршрут Орел-Москва-САЩ-Китай, а така:

първо към VPN сървъра – Орел-Красноярск,

след това от VPN сървъра до Пекин - Красноярск-Пекин.

Разбрахте ли смисъла? Променихме маршрута си. Какво даде? Скоростта на изходящата връзка от мен към yunpan.360.cn се ​​увеличи. Пингът е намален. Резултатът беше постигнат.

Как да определите своя маршрут? За начинаещи най-лесният начин да направите това е да използвате програмата VisualRoute, която можете да намерите в интернет както в лицензирана, така и в хакната форма.

Трябва да стартирате тази програма и да зададете следните настройки:

Ще се получи така:

С помощта на тази таблица ще видите през кои страни минава трафикът. Още веднъж обръщам внимание на факта, че проследяването показва маршрута само на изходящия трафик (т.е. трафика от вашия компютър към сървъра). Маршрутът в обратната посока може да бъде показан само чрез трасиране, направено от сървъра към вашия компютър. VisualRoute има малък проблем: често се показва Австралия (?)като държава, когато не може да определи реалната геопозиция на възела.

VPN– Виртуална частна мрежа – виртуалната частна мрежа е, може да се каже, вашата собствена мрежа върху интернет, целият трафик в която е криптиран. Можете да проучите подробно тази технология. За да го обясня много просто, тогава:

• вашият компютър и VPN сървър се свързват през интернет
• целият трафик между вас и VPN сървъра е криптиран
• VPN сървърът го изпраща до дестинацията
• вашият IP е скрит и вместо това се вижда IP адресът на VPN сървъра

Препоръчително е да използвате VPN, когато работите чрез безплатен (или просто нечий) WiFi, тъй като е възможно да прихванете целия трафик, преминаващ през WiFi рутера. И когато използвайки VPNцелият трафик ще бъде криптиран. Освен това, ако отидете на yandex.ru, vk.com и google.ru без VPN, тогава връзките към yandex.ru, vk.com и google.ru ще бъдат записани на ниво рутер и вашия интернет доставчик. Когато използвате VPN, всички връзки отиват към адреса на VPN сървъра.

Има много платени VPN услуги. Техните предимства включват само лекота на използване. Недостатъците включват: висока цена, липса на 100% поверителност (можете да пишете много, но какво всъщност се случва на VPN сървъра, дали трафикът е прихванат, не може да бъде гарантирано). Невъзможността за промяна на IP адреса с няколко кликвания също трябва да се счита за недостатък на платените услуги.

Нека сравним цената на нашето самостоятелно конфигурирано решение и платените VPN услуги. Последният струва около 300 рубли. на месец. Нашето решение ще струва $0,007 на час. Ако не използваме VPN в момента, не плащаме. Ако се използва по 2 часа всеки ден в продължение на 30 дни, това удоволствие ще ни струва 30-50 рубли.

Ние ще направим следното:

1. Наемаме сървър за VPN.
2. Нека да настроим VPN на него.
3. Ще ги използваме и ще плащаме само за всеки час реална употреба VPN.

Етап 1. Сървър под наем.

Не, няма да наемем пълноценен сървър. Даваме под наем виртуален сървър – VPS(виртуален частен сървър). В много случаи хостването на уебсайтове в Интернет или за други цели (включително организиране на VPN) не изисква голям капацитет на сървъра, но трябва да персонализирате операционната система на сървъра. Няколко операционни системи не могат да работят едновременно на един компютър (включително сървър, защото това е същият компютър, само че обикновено е по-мощен). Какво трябва да направя? Виртуалните машини идват на помощ. Тази технология ви позволява да стартирате операционна система в една операционна система, което се нарича виртуализация. При сървърите се създават и аналози на виртуалните машини – виртуални сървъри.

Има няколко общи технологии за виртуализация. Най-често срещаните са OpenVZ, KVM, Xen. Грубо казано, Xen и KVM имат всеки виртуална машинате създават свой собствен „имитационен хардуер“, своя собствена операционна система и т.н. В случая на OpenVZ се използва общо ядро ​​на ОС, в резултат на което някои функции (например правене на промени в ядрото на ОС) стават недостъпни или могат да бъдат активирани или деактивирани само за всички VPS наведнъж. VPS на Xen и KVM като правило са по-стабилни при работа, но разликата е значителна само за големи проекти, за които толерантността към грешки на сървъра е критична.

VPS на OpenVZ винаги е по-евтин, тъй като един виртуален сървър изисква по-малко ресурси. Поради по-ниската цена ще насочим вниманието си към VPS, базиран на OpenVZ.

внимание! Някои хостинг компании (компании, които предоставят услуги за наемане на сървъри) умишлено блокират работата на VPN на OpenVZ-базирани сървъри! Ето защо, преди да наемете такъв сървър, трябва да се консултирате с услугата за поддръжка (от добър хостингтрябва да отговори в рамките на 15 минути, максимум час) дали VPN ще работи.

Персонален VPN е достатъчен за работа на сървър минимална конфигурация– 256 MB RAM и 0.5-1 GHz процесор. Въпреки това, не всички хостинг доставчици предоставят VPS с 256 MB RAM: много от тях имат минимална тарифа от 512 MB RAM. Такъв VPS ще ни бъде повече от достатъчен.

Какви други критерии за избор на VPS съществуват? Както вече разбирате, интернет трафикът постоянно ще „ходи“ от вас до VPS и обратно. Следователно главните канали трябва да имат достатъчно пропускателна способностотиване и връщане. С други думи, скоростта на интернет връзката между вашия компютър и VPS трябва да е достатъчна за изпълнение на задачите, от които се нуждаете. За ежедневието удобна работа 15 Mbit/s са достатъчни, а ако ще теглите торенти през VPN, тогава може да ви трябват всичките 100 Mbit/s. Но! Ако вие и VPS сте в мрежите на различни интернет доставчици (особено в различни градове), малко вероятно е опорните мрежи да се „разтегнат“ повече от 70 Mbit/s в Русия (или вашата страна) и повече от 50 Mbit/ със сървъри в Европа.

Повечето хостинг услуги изискват месечни плащания. Заслужава да се отбележи веднага, че ценовият диапазон е много голям с приблизително същото качество. Ще използваме услуги с почасова ставка: $0,007 на час работа на нашия сървър. По този начин, ако използваме VPN за 2 часа всеки ден, тогава ще плащаме около 30 рубли на месец. Съгласете се, това не са 350 рубли на месец за платена VPN услуга!

Първо трябва да отидете на уебсайта и да се регистрирате:

След това ще се отвори страница, на която трябва да посочите вашите данни. банкова карта. Без това системата няма да работи и няма да ви позволи да се възползвате от бонуса от 10 долара (повече за това по-късно). Можете да посочите всякакви данни, системата ще „изяде“ фалшиви данни.

В този случай на вашата карта може да бъде блокирана сума от няколко рубли, която след това ще бъде върната. Таксите от вашата карта ще се основават само на факта на използване на сървърите.

Какво да направите, ако нямате банкова карта? Вземете си такава, тя автоматично ви дава виртуална карта, чийто баланс е равен на баланса на вашия портфейл. Можете да попълните портфейла си почти навсякъде, вижте.

Въпреки това, ако въведете данните на вашата Qiwi карта в DigitalOcean, системата ще ги изплюе, цитирайки факта, че DigitalOcean не работи с предплатени и виртуални карти. В този случай трябва да попълните баланса си с $5 чрез PayPal, като платите с карта Qiwi.

След всичко това на същата страница във вашия личен акаунт в DigitalOcean въведете промоционалния код КАПКА10, който ни кредитира с 10 долара, които можем да използваме напълно на сървърите, без да се страхуваме от допълнителни такси от нашата карта.

Готов! Сега нека да преминем към създаването на VPS. Гледайте видео урока:

Когато създавате сървър, изберете Ubuntu OS версия 14.04, а не някоя по-нова, вкл. не избирайте 16.04.

Забележка. За повечето жители на Русия и страните от ОНД Амстердам или Франкфурт ще бъдат подходящи (пингът до Франкфурт в повечето случаи ще бъде малко по-малък, отколкото до Амстердам). Препоръчвам на жителите на руския Далечен изток да тестват Сингапур и да сравнят производителността с европейските сървъри.

Местоположението на сървърите в чужбина ще ви позволи да използвате VPN, за да заобиколите правителствените забрани за посещение на определени сайтове (ако това е от значение за вас).

DigitalOcean включва 1 терабайт (1024 GB) трафик в цената (вижте). За повечето хора това ще бъде достатъчно. Други хостинг доставчици формално имат неограничен трафик, но им става нерентабилен, след като се достигне прагът от 1-2 TB/месец.

Това е, поръчахме VPS. Честито. Сега е време да преминете към настройването му.

Стъпка 2. Настройка на VPN.

Не се тревожете, процесът на настройка на вашия собствен VPNпросто като две или две!

Във видео урока по-горе се свързахме с нашия сървър с помощта на Putty. Сега да продължим.

Копирайте и поставете (чрез десен бутон на мишката, както направихме във видео урока) командата:

Сега копирайте и поставете следното в прозореца за редактиране на файлове, който се отваря:

Натиснете Ctrl+O, след това Enter.

Натиснете Ctrl+X.

Копирайте и поставете командата:

Въведете 1 и натиснете Enter. чакаме Според заявките на системата въведете желаното потребителско име и натиснете Enter. Същото с паролата. За въпросите „[Y]/[N]”, въведете Y и натиснете Enter. След завършване на настройката ще се покажат нашето потребителско име и парола и IP адрес на сървъра.

Готов! VPN е конфигуриран!

Сега отворете „Център за мрежи и споделяне“ споделен достъп»Windows:

Изберете настройките за нова връзка:

Изберете „Свързване с работно място“:

Чакаме малко. Вече работим през VPN! За да се уверите в това, отидете и се уверете, че нашият IP адрес, който ни се показва, съвпада с IP адреса на нашия VPS.

Сега внимание! През Лична зона DigitalOcean можем да изключим нашия VPS (капчица в терминологията на DigitalOcean), но дори и за сървъра в изключено състояние средствата се отписват според стандартна тарифа. Така че ще архивираме сървъра си, ще го изтрием и когато имаме нужда от VPN отново, ще го възстановим от архива!

Да преминем към управлението на сървъра (контролният панел на DigitalOcean се намира на cloud.digitalocean.com, можете да влезете в него чрез бутона Вход на главната страница на digitalocean.com в горния десен ъгъл).

Трябва да създадем резервно копие (моментна снимка) на нашия VPS. Но за да направите това, първо трябва да го изключите.

Изчакваме около минута, докато сървърът се изключи. След това отидете в раздела Снимки, въведете персонализирано име за моментната снимка и я създайте:

За всеки гигабайт „тегло“ на нашия VPS ще бъдат таксувани 2 цента при създаване на моментна снимка. Създаването на резервно копие (моментна снимка) ще отнеме няколко минути.

Сега изтриваме сървъра:

Всичко! Повече няма да ни удържат пари за нищо.

Какво да направите, когато имате нужда от VPN отново

Трябва да създадем нов VPS от резервното копие, което направихме преди.

Кликнете върху „Създаване на капчица“:

Сега, както преди, въведете произволно име на сървър с латински буквибез интервали изберете първата минимална тарифа, регионът трябва да е същият, същата като тази, в която преди имахме сървър.

Точно отдолу щракнете върху името на снимката, която направихме (беше сива, но трябва да стане синя):

...и щракнете върху големия зелен бутон „Създаване на капчица“.

Изчакваме около минута.

Да видим дали IP адресът на нашия сървър съвпада с предишния. Ако да, тогава в Windows просто възобновяваме създадената преди това връзка:

Ако не, щракнете Кликнете с десния бутонзадръжте мишката върху името на нашата връзка и променете IP адреса на нов:

Въведете новия IP и щракнете върху „OK“:

внимание! Сега, за да изключим VPN, не е нужно да правим резервно копие, просто изтриваме сървъра веднага и следващия път ще възстановим всичко от старата снимка. Не е необходимо да изключвате сървъра преди изтриване. За всеки случай това е процедурата на екранните снимки:

Премахнахме VPS, докато не използвахме VPN. Сега нека го възстановим от старата моментна снимка:

Отново проверяваме дали старият IP е все още там и продължаваме да работим.

На същия сървър (или друг) можете да повдигнете вашия личен прокси, например, към софтуерната база 3proxy, но това не е темата на тази статия.

Открихте правописна грешка? Натиснете Ctrl + Enter

Интернет твърдо навлезе в живота ни и ако по-рано, през годините на господството на аналоговите модеми, за достъп до интернет беше необходимо да се вземе предвид както обемът на трафика, така и времето за връзка, но днес неограничен интернет връзката се превърна в норма. Тоест, ако няма интернет по всяко време и във всеки „обем“, тогава това вече е нещо необичайно. Освен това, ако по-рано наличието на неограничен интернет се считаше за де факто стандарт за корпоративни мрежи, днес това вече се превърна в норма за крайни потребители. С развитието на интернет се променя и концептуалният модел на неговото използване. Появяват се все повече и повече нови услуги, като видео по заявка и VoIP, развиват се мрежи за споделяне на файлове peer-to-peer (BitTorrent) и др.. Напоследък организирането на виртуални частни мрежи (VPN) през Интернет с възможността за организиране на отдалечен достъп до всеки компютър като част от тази мрежа стана много популярна. Как може да се направи това ще бъде обсъдено в тази статия.

Защо е необходимо това?

Организацията на VPN мрежи през Интернет или в рамките на локална мрежа има много случаи на употреба: мрежови игри в Интернет заобикаляне сървъри за игри(точно като игри в локална мрежа), създавайки затворен аутсайдерска мрежаза предаване конфиденциална информация, възможност за дистанционно и безопасно управлениекомпютри (пълен контрол върху отдалечен компютър), организиране на защитен достъп за служители в командировка до ресурсите на корпоративната мрежа, комуникация чрез виртуална мрежа от отделни офиси ( локални мрежи).

Традиционният подход за разгръщане на такава виртуална частна мрежа е, че VPN сървър (обикновено базиран на Linux OS) се инсталира и конфигурира в корпоративната мрежа и отдалечените потребители имат достъп до корпоративната мрежа чрез VPN връзки.

Този подход обаче не е приложим, когато потребителят трябва да получи отдалечен достъп до своя домашен компютър. Малко вероятно е ситуация, при която у дома е инсталиран отделен VPN сървър, да се счита за нормална. Въпреки това, не се отчайвайте. Задачата за създаване на VPN мрежа е разрешима и дори начинаещ потребител може да се справи. За тази цел има специална програма Hamachi, който може да бъде изтеглен безплатно от Интернет (http://www.hamachi.cc/download/list.php). Това, което е особено приятно, е наличието на неговата русифицирана версия, така че всеки потребител да може да овладее програмата.

Hamachi 1.0.2.2

И така, Hamachi (текуща версия - 1.0.2.2) е програма, която ви позволява да създадете виртуална частна мрежа (VPN) през интернет и да свържете няколко компютъра в нея. След създаването на такава мрежа, потребителите могат да установяват VPN сесии помежду си и да работят в тази мрежа по същия начин, както в обикновена локална (LAN) мрежа с възможност за споделяне на файлове, отдалечено администриране на компютри и т.н. Предимството на VPN мрежата е, че тя е напълно защитена от неоторизирана намеса и е невидима от интернет, въпреки че съществува в него.

Hamachi трябва да бъде инсталиран на всички компютри, които ще бъдат свързани към виртуална частна мрежа.

Виртуалната мрежа се създава с помощта на специализиран Hamachi сървър в Интернет. За връзка с този сървър се използват портове 12975 и 32976. Първият порт (12975) се използва само за установяване на връзка, а вторият - по време на работа. Обикновените потребители обаче едва ли ще се нуждаят от такава подробна информация.

След като се създаде виртуална мрежа между избрани компютри, използващи сървъра на Hamachi, обменът на информация между VPN клиентите се осъществява директно, тоест без участието на сървъра на Hamachi. UDP протоколът се използва за обмен на данни между VPN клиенти.

Инсталиране на програма

Програмата Hamachi се инсталира на компютри с операционна система Windows 2000/XP/2003/Vista. Има и конзолни версии на програмата за Linux и Mac OS X. След това ще разгледаме инсталирането и конфигурирането на програмата, използвайки операционната система като пример Windows системи XP.

Инсталация Програми на Hamachiтой е доста прост и не създава проблеми (особено като се има предвид, че интерфейсът на съветника за инсталиране, който се стартира, е руски). След като започнете да инсталирате програмата на вашия компютър, съветникът за инсталиране се стартира и ви подканва да се съгласите лицензионно споразумение, изберете папка за инсталиране на програмата (фиг. 1), създайте икона на работния плот и др.

Сред полезните допълнителни функции, които могат да бъдат активирани по време на инсталационния процес на програмата, са автоматичното стартиране на Hamachi при зареждане на компютъра и блокиране на уязвими услуги за Hamachi връзки (фиг. 2). В последния случай услугата ще бъде блокирана Windows файлСподеляне за виртуален мрежов адаптер на Hamachi. В резултат на това други потребители на VPN мрежата няма да имат достъп до файлове и папки, които са споделени на вашия компютър. В същото време тези файлове и папки ще останат достъпни за обикновените потребители на локалната мрежа, за свързване с които не се използва VPN връзка.

Ориз. 1. Съветникът за инсталиране на Hamachi ви позволява да посочите папката
за да поставите програмата, създайте икона на работния плот
и изберете незадължителната опция за автоматично стартиране на програмата
когато компютърът се стартира

Освен блокиране Windows услугиСподелянето на файлове, блокирането на уязвими услуги за Hamachi връзки също води до блокиране на отдалечен достъп до определени услуги на Windows, които често са атакувани. Съответно, ако използвате програмата Hamachi, за да се свържете с надеждни клиенти, на които имате доверие, тогава е по-добре да деактивирате опцията за блокиране на уязвими услуги.

Ориз. 2. Съветникът за инсталиране на Hamachi ви позволява да блокирате
уязвими услуги за Hamachi връзки

На последен етапСъветникът за инсталиране ще ви подкани да изберете коя версия на програмата да инсталирате: основна версия или Premium. Hamachi се предлага в две версии. Основната версия е безплатна, а версията Premium, която е с по-разширени функции, се заплаща. Обърнете внимание, че за повечето потребители безплатната основна версия на програмата е напълно достатъчна (ще говорим за подробните разлики между основната версия и Premium версията малко по-късно), но стандартният подход е следният: първо се инсталира Premium версията за 45 дни (безплатно), като след този период автоматично се преминава към основната версия.

След като инсталирате и стартирате програмата Hamachi на вашия компютър, ако това е първият път, когато инсталирате програмата, ще се стартира кратко ръководство за Hamachi, което описва как да работите с програмата.

Първо стартиране на програмата

Когато стартирате програмата за първи път, вашият Сметка. На този етап трябва да зададете името на компютъра, под което той ще бъде видим за другите потребители на VPN мрежата (фиг. 3).

Ориз. 3. Посочване на името на компютъра, под който
той ще бъде видим за другите потребители на VPN мрежата

Когато името на компютъра е указано, програмата установява връзка със сървъра на базата данни Hamachi и изисква IP адрес, който ще бъде присвоен на виртуалната мрежа Hamachi адаптери ще се използва в бъдеще за установяване на VPN връзка. На всеки клиент на Hamachi се присвоява IP адрес в диапазона 5.0.0.0/8 (подмрежова маска 255.0.0.0), който обикновено не е запазен за използване в Интернет. Тези диапазони, запазени за частна употреба в локални мрежи, включват следните диапазони: 10.0.0.0/8 (диапазон от 10.0.0.0 до 10.255.255.254), 172.16.0.0/12 (диапазон от 172.16.0.0 до 172.31.255.254) и 192.168. 0.0 /16 (диапазон от 192.168.0.0 до 192.168.255.254). Диапазонът 5.0.0.0/8 обаче е запазен повече от 10 години от IANA (Internet Assigned Numbers Authority – американска организация, която управлява IP адресните пространства) и не се използва като публични (външни) интернет адреси. Така диапазонът 5.0.0.0/8, от една страна, се отнася до диапазона от външни (публични) интернет адреси, т.е. изключва се възможността зададеният ви IP адрес вече да се използва във вашата локална мрежа (в локални мрежи само тези, запазени за частно приложение на IP адрес), а от друга страна, тези адреси все още не са заети от никого.

След като ви присвои IP адрес от диапазона 5.0.0.0/8, той се превръща в своеобразен идентификатор за вашия компютър във виртуална частна мрежа. Този IP адрес е присвоен на виртуалния мрежов адаптер Hamachi. Така че, ако въведете командна линия ipconfig/all, тогава в допълнение към настройките на мрежовия интерфейс на истинския мрежов адаптер (който физически присъства във вашия компютър), можете да откриете, че се е появил друг виртуален Ethernet адаптер на Hamachi с MAC адрес, IP адрес, подмрежова маска, и IP адрес, присвоен на неговия шлюз и т.н. (фиг. 4).

Ориз. 4. След първото стартиране на програмата, виртуалният мрежов адаптер
На Hamachi се присвоява IP адрес от диапазона 5.0.0.0/8 и се конфигурира
мрежов интерфейс

И така, след като програмата Hamachi е конфигурирала виртуалния мрежов адаптер, можете да започнете работа с програмата.

В този момент вашият компютър все още не е член на никоя виртуална частна мрежа, така че първата стъпка е да се свържете към съществуваща виртуална частна мрежа или да създадете нова VPN мрежа.

Работа с програмата

Интерфейсът на програмата е много прост (фиг. 5). Има само три функционални бутони: Вкл./Изкл., Бутон за мрежово меню и Бутон за системно меню.

Ориз. 5. Програмен интерфейс
Hamachi е много прост -
само три функционални бутона

За да създадете нова VPN мрежа или да свържете компютър към съществуваща, щракнете върху бутона на мрежовото меню и изберете съответния елемент (фиг. 6).

Ориз. 6. Бутонът на мрежовото меню ви позволява да
създайте нова VPN мрежа или се присъединете
компютър към съществуващ

Присъединяване на компютър към и напускане на съществуваща виртуална мрежа

Ако трябва да свържете компютъра си към съществуваща виртуална мрежа и знаете нейното име и парола (ако се използва), тогава в менюто мрежа изберете Въведете съществуваща мрежа… След това ще се отвори прозорец, в който трябва да зададете името на мрежата и паролата (фиг. 7).

Ориз. 7. Добавяне на компютър
към съществуваща виртуална мрежа

След това в прозореца на програмата ще се появи името на мрежата и списък на свързаните към нея компютри (с изключение на вашия) - фиг. 8.

Ориз. 8. След като свържете компютъра
към виртуалната мрежа в прозореца на програмата
показва се списък на свързаните
компютри към нея

Ако до името на компютъра има зелена точка или звезда, това означава, че е установена връзка с компютъра. Мигаща зелена точка показва, че връзката е в процес на установяване. Светъл кръг около зелената точка показва, че се обменя информация с този компютър.

Най-лошото е, когато до името на компютъра има жълта точка - това означава, че директна връзкаПо някаква причина не беше възможно да се установи с него. Ако името на компютъра се показва в жълто, това означава, че връзката с него е прекъсната.

Появата на синя точка показва, че не може да се установи директна връзка с компютъра и комуникацията се осъществява през сървъра на Hamachi. Проблемът е, че в този случай комуникационният канал с компютъра има много ниска честотна лента и големи закъснения.

Ако името на компютъра и точката до името му се показват в сиво, това означава, че компютърът, въпреки че е свързан към тази виртуална мрежа, е недостъпен (например компютърът е изключен, няма интернет връзка или програмата Hamachi не работи).

За да напуснете мрежата, просто щракнете с десния бутон върху нейното име и изберете елемента от падащия списък Прекъснете връзкатаили Напуснете мрежата. В първия случай вие само временно напускате мрежата и списъкът с компютри, свързани към нея, остава видим за вас. Във втория случай, за да влезете в мрежата, ще трябва да повторите цялата процедура за свързване на компютъра към съществуващата мрежа.

Създаване на нова мрежа и изтриване на създадената мрежа

Ако трябва да създадете нова виртуална мрежа, изберете в менюто мрежа Създайте нова мрежа...Ще се отвори прозорец, в който трябва да посочите името на създаваната мрежа и паролата, която другите потребители ще използват, за да се присъединят към тази мрежа (фиг. 9).

Ориз. 9. Създайте нова VPN мрежа

След като създадете нова мрежа, можете да свържете потребителски компютри към нея. Ако мрежата е създадена от вас, вие сте неин администратор и получавате пълен контрол върху нея, от който останалите потребители са лишени. Важно е да запомните, че създадената мрежа може да се управлява само от компютъра, на който е създадена. По-точно, мрежата може да се управлява само от компютър, на който е присвоен абсолютно същия виртуален IP адрес като този, който е бил използван за създаване на виртуалната мрежа. Защо тази забележка е толкова важна? Представете си следното: инсталирали сте Hamachi и сте създали нова VPN мрежа. След това напълно деинсталирахте (включително всички конфигурационни файлове) програмата Hamachi и след известно време я инсталирахте отново. Ще ви бъде назначен нов виртуален IP адрес, но като го използвате, вече няма да можете да контролирате VPN мрежата, която сте създали по-рано.

Ако сте мрежов администратор, можете да го изтриете. За да направите това, щракнете с десния бутон върху името на мрежата и изберете елемента от падащия списък Изтрий. Обърнете внимание, че когато една мрежа бъде изтрита, всички връзки между другите й потребители са напълно унищожени.

Други действия с мрежови компютри

Ако сте се присъединили към мрежа, можете да извършвате следните действия на компютрите, свързани към нея:

• проверка на достъпността;
• разглеждане на папки;
• изпращане на съобщение;
• копиране на адреса;
• блокиране;
• настройка на етикета.

За да изпълните една от тях, щракнете с десния бутон върху името на компютъра и изберете съответния елемент от падащото меню (фиг. 10).

Ориз. 10. Списък с възможни действия
с избрания компютър в мрежата

При избор на артикул Провери наличносттаще се извърши обичайното ping командадо адреса на съответния компютър.

Параграф Преглед на папкиви позволява достъп до споделени папки на вашия компютър.

Параграф изпрати съобщениедава възможност за обмен на съобщения между отделни компютримрежи, подобно на начина, по който се прави в ICQ.

Параграф Копиране на адресавмъква IP адреса на избрания компютър в клипборда, което е удобно, ако искате да използвате този адрес в други програми (например отдалечено администриране).

Параграф Блокирайтеви позволява временно да блокирате избрания компютър, тоест вашият VPN канал с него ще бъде блокиран и обменът на информация ще бъде невъзможен.

Параграф Задайте етикетви позволява да изберете формата за показване на компютърните атрибути в мрежата. По подразбиране се показват IP адресът на компютъра и неговото име. Можете да изберете да показвате само името на компютъра или само IP адреса.

Настройка на програмата

За да получите достъп до настройките на програмата, трябва да щракнете върху бутона на системното меню и да изберете елемента Настройки…(фиг. 11).

Ориз. 11. Достъп до настройките
програми

След това ще се отвори прозорец Състояние и конфигурация, което позволява да се произвеждат подробна настройкапрограми (фиг. 12).

Ориз. 12. Прозорец за подробна конфигурация на програмата

Всъщност всичко тук е доста просто и е малко вероятно да са необходими подробни коментари, така че просто ще изброим функциите, които могат да бъдат внедрени в прозореца за конфигуриране. Така че в този прозорец можете да промените името на компютъра, да направите подробни настройки за връзка, да зададете типа стартиране на програмата, да блокирате или деблокирате уязвими услуги на Windows, да блокирате нови членове на мрежата и да приложите други, по-малко значими опции. Сред важните функции отбелязваме деактивирането на криптирането при прехвърляне на данни между отделни компютри в мрежата. За да направите това, трябва да кликнете върху иконата прозореци в групата Външен видпоставете отметка в квадратчето Показване на „Разширени...“ за всеки елемент от менюто(фиг. 13).

Ориз. 13. Добавяне на разширен елемент...
към падащото меню

След това, ако щракнете с десния бутон върху името на компютър, свързан към мрежата, в падащото меню ще се появи елемент Разширено...Ако го изберете, ще се отвори прозорец Тунелна конфигурация, което ви позволява да промените настройките на VPN тунела. За да деактивирате криптирането на Шифрованетрябва да изберете стойност Изкл. В този случай данните от вашия компютър ще бъдат прехвърлени към избрания компютър в некриптиран вид. В обратната посока обаче данните ще се предават криптирани. За да деактивирате напълно криптирането за VPN тунел между два компютъра, то трябва да бъде деактивирано и на двата компютъра.

Обърнете внимание, че криптирането трябва да бъде деактивирано само в изключителни случаи, тъй като е малко вероятно самата процедура за криптиране да повлияе на трафика. Факт е, че трафикът ще се определя от честотната лента на вашия интернет канал, а не от използването или липсата на криптиране. Само ако се формира VPN тунел между компютри в една и съща локална мрежа и неговата пропускателна способност е около 100 Mbit/s, използването на криптиране може леко да намали максималната скорост на трансфер (до 70-80 Mbit/s).

Заключение

Hamachi е мощен инструмент, който ви позволява да създавате VPN мрежи много бързо. Имайте предвид, че първоначално е създаден, за да позволи на потребителите да играят онлайн игри, като заобикалят сървърите на игрите. Въпреки това възможните сценарии за използване на тази програма са много по-широки. Така че, след като създадете виртуална мрежа и свържете компютри към нея, можете да използвате стандартни програмидистанционно администриране, получавате отдалечен достъп до всеки компютър във виртуална мрежа, тъй като всеки компютър в такава мрежа има свой собствен IP адрес.

В същото време трябва да се отбележи, че не винаги е възможно да се установи директна връзка между отделните компютри. И въпреки факта, че уебсайтът на производителя твърди, че програмата лесно „пробива“ рутери и NAT устройства, в действителност всичко не е толкова оптимистично. В документацията за програмата се посочва, че в 5% от случаите не може да се установи директна връзка между отделни компютри, но ни се струва, че тази цифра е явно подценена. Реалната ситуация е следната: ако говорим за свързване на два компютъра, на които е присвоен динамичен или статичен публичен IP адрес, тогава няма проблеми. Тоест, ако имате само един компютър с достъп до Интернет у дома и трябва да се свържете с потребител, който също има един компютър с достъп до Интернет, тогава няма да има проблеми. Както показва практиката, няма проблеми при установяване на връзка между компютъра на потребителя с присвоен динамичен или статичен публичен IP адрес и компютър в локална мрежа, защитена от рутер. Ако обаче се установи връзка между два компютъра, принадлежащи към различни локални мрежи, защитени от рутери, тогава са възможни проблеми и не е факт, че ще се установи директна връзка. Тоест може да се установи връзка, но най-вероятно няма да е директно, а през сървъра на Hamachi. Съответно скоростта на такъв комуникационен канал ще бъде много ниска и няма да има голяма полза от такава връзка. Например във вашия дом достъпът до интернет се осъществява с помощта на безжичен рутер, т.е. вашият компютър е част от домашната локална мрежа и му е присвоен IP адрес от диапазона от адреси, запазени за лична употреба, и е присвоен публичен адрес към WAN порта на рутера, през който влизате онлайн. Ако се опитвате да установите връзка с друг компютър, който също е част от локалната мрежа (например с работен компютър в офиса или с компютър на потребител, който има локална мрежа, разположена у дома и използва рутер), тогава в повечето случаи възникват проблеми.

Ръководството на потребителя на Hamachi описва как можете да избегнете тези проблеми. За да направите това, се препоръчва да използвате фиксиран (а не динамичен) UDP порт и да приложите пренасочване на портове на рутера. Въпреки това, както показва практиката, пренасочването на портове или използването на демилитаризирана зона в рутера не винаги помага.

VPN (Виртуална частна мрежа) е широко разпространена технология, която ви позволява да организирате виртуални мрежи върху съществуващи реални мрежи. Тази статия ще се съсредоточи върху терминологията и общите принципи; създаването на такива мрежи ще бъде разгледано отделно.

Въпреки думата “Private” в името на технологията, е възможно да се организират публични – некриптирани мрежи. Като цяло VPN може да бъде организиран по огромен брой начини с помощта на различни технологии ( SSL VPN, IPSec, GREи т.н.).

Всяко изграждане на VPN означава създаване на тунели; тунел означава канал между две устройства, през които се предават данни. Важно условие– данните са изолирани от спецификата на изграждането на канала. Устройството, предаващо полезни данни, прави това така, сякаш нямаше тунел, а настройването на самия тунел е отделна задача. Има два вида VPN тунели:

1. VPN за отдалечен достъп– означава, че е организиран тунел между приложение на компютъра на клиента и някакво устройство, което действа като сървър и организира връзки от различни клиенти (например VPN концентратор, рутер, Cisco ASA и др.)
2. VPN от сайт до сайт– предполага наличието на две устройства (например рутери), между които има постоянен тунел; в този случай потребителите са зад устройствата, в локални мрежи и не е необходимо да се инсталира специален софтуер на техните компютри.

Първият тип се използва за свързване например на отдалечени работници към корпоративната мрежа на предприятието чрез защитен канал. В този случай служителят може да се намира на всяко място, където има интернет, а софтуерът на неговия компютър ще изгради тунел към фирмения рутер, по който ще се предават полезни данни. Вторият тип се използва, когато е необходима фиксирана връзка между два отдалечени клона или клон и централен офис. В този случай служители без специален софтуер работят в локалната офис мрежа, а на границата на тази мрежа има рутер, който незабелязано от потребителя създава тунел с отдалечен рутери предава полезен трафик към него.

Един тунел обикновено използва три слоя протоколи:

1. Транспортен протокол (например IP). Това е протоколът, на който съществуващите реална мрежа, тоест не е първоначално свързан с VPN, но се използва за транспортиране на капсулирани пакети, съдържащи криптирана или ясна информация, свързана с вътрешната мрежа на тунела.
2. Протокол за капсулиране (например GRE) - използва се като слой между транспортния протокол и вътрешния транспортен протокол.
3. Капсулиран (транспортиран) протокол (например IP, IPX, IPSec) са действителните пакети на вътрешнотунелната мрежа; потребителят, свързан към VPN, изпраща пакети, които на входа на тунела стават капсулирани, например, в GRE, който от своя страна е капсулиран в транспортен протокол.

По този начин общият ред на капсулиране, в случай на използване на VPN от сайт към сайт, е следният: потребителят изпраща обикновен пакет, пакетът достига до устройството, на което е издигнат тунелът, устройството го обвива полезен пакетв полето „данни“ на протокола за капсулиране, което от своя страна е обвито в полето „данни“ на транспортния протокол. След това на пръв поглед обикновен, например IP пакет, напуска устройството, в което всъщност полето за полезен товар съдържа GRE пакет, който от своя страна съдържа друг вътрешен IP пакет. Това позволява независимо адресиране вътре в тунела и извън него. Когато целевото устройство получи такъв пакет, то го разширява, декапсулирайки GRE и след това вътрешния IP пакет от него. След което вътрешният пакет се изпраща до получателя. В тази ситуация, както може би се досещате, подателят и получателят не знаят нищо за наличието на тунел и се държат така, сякаш той не съществува. В същото време, в транспортен протоколизползва се едно адресиране (например публични IP адреси), а транспортираният протокол може да използва частни адреси, което не пречи да се транспортира през Интернет (тъй като маршрутизирането се извършва за външен, транспортен пакет).

VPN (Virtual Private Network) е виртуална частна мрежа или логическа мрежа, която се създава върху незащитени мрежи (мрежи на телеком оператор или доставчик на интернет услуги). VPN е технология, която защитава данните, докато ги предава незащитени мрежи. Виртуалната частна мрежа ви позволява да създадете тунел в незащитени мрежи (между две мрежови точки), като ATM, FR или IP мрежи.

С помощта на VPN можете да осъществявате връзки: мрежа към мрежа, сайт към мрежа или сайт към сайт. Такива свойства на VPN технологията предоставят възможност за географско обединяване далечен приятеледна от друга локални мрежи от фирмени офиси в единна корпоративна информационна мрежа. Трябва да се отбележи, че корпоративните компютърни мрежи (CNET) могат да бъдат организирани и на базата на специализирани (частни или наети) комуникационни канали. Такива организационни инструменти се използват за малки предприятия (предприятия с компактно разположени офиси) с трафик, който не се променя с течение на времето.

Известни са основните видове VPN и техните комбинации:

• Интранет VPN (вътрешнокорпоративен VPN);
• Екстранет VPN (междукорпоративен VPN);
• Remote Access VPN (VPN с отдалечен достъп);
• Клиент/сървър VPN (VPN между два възела на корпоративната мрежа).

В момента се използват следните технологии за изграждане на корпоративни, географски разпределени мрежи в споделената инфраструктура на доставчици на услуги и телеком оператори:

• IP тунели, използващи GRE или IPSec VPN технологии;
• SSL, който включва OpenVPN и SSL VPN (SSL/TLS VPN) за организиране на защитени комуникационни канали;
• MPLS в мрежата на оператора (L3 VPN) или VPN в BGP/MPLS мрежата;
• Metro Ethernet VPN в мрежата на оператора (L2 VPN). Най-обещаващата технология, използвана в Metro Ethernet VPN, е MPLS-базирана VPN (MPLS L2 VPN) или VPLS.

Що се отнася до използването на наети линии и Frame Relay, ATM технологии за организиране на корпоративни географски разпределени мрежи, те практически вече не се използват за тези цели. Днес, като правило, CBC се изграждат на базата на мрежи с наслагване (клиент-сървър и peer-to-peer мрежи), които работят в споделената инфраструктура на операторите и са „надстройки“ на класическите мрежови протоколи.

За да организират географски разпределени корпоративни мрежи, доставчиците предоставят на клиентите следните основни VPN модели в Интернет:

• IP VPN модел (GRE, IPSec VPN, OpenVPN) през WAN мрежа, в която Настройка на VPNпредоставени от клиента;
• модел L 3 VPN или MPLS L3 VPN през WAN мрежа, в който VPN конфигурацията се предоставя от доставчика на услуги или телеком оператора;
• L2 VPN модел през MAN мрежа, в който VPN конфигурацията се предоставя от доставчика или телеком оператора:
  • от точка до точка (AToM, 802.1Q, L2TPv3);
  • многоточкови (VPLS и H-VPLS).

VPN технологиите могат да бъдат класифицирани според методите на тяхното внедряване с помощта на протоколи: удостоверяване, тунелиране и криптиране на IP пакети. Например VPN (IPSec, OpenVPN, PPTP) се основават на криптиране на клиентски данни, VPN (L2TP и MPLS) се основават на разделяне на потоците от данни между VPN клиенти, а SSL VPN се основава на криптография и удостоверяване на трафика. Но като правило VPN мрежите използват смесени опции, когато технологиите се използват заедно: удостоверяване, тунелиране и криптиране. По принцип организацията на VPN мрежите се извършва на базата на протоколи за връзка за данни и мрежови слоеве на модела OSI.

Трябва да се отбележи, че за мобилни отдалечени потребители е разработена SSL VPN технология (Secure Socket Layer), която се основава на различен принцип за предаване на лични данни (потребителски данни) през Интернет. За организиране на SSL VPN се използва протоколът на приложния слой HTTPS. За HTTPS се използва порт 443, през който се осъществява връзка чрез TLS (Transport Layer Security).

TLS и SSL (TLS и SSL протоколи от слой 6 на модела OSI) са криптографски протоколи, които предоставят надеждна защитаданни на ниво приложение, тъй като използват асиметрична криптография, симетрично криптиранеи кодове за удостоверяване на съобщения. Но тъй като има 4 слоя, дефинирани в TCP/IP стека, т.е. Тъй като няма сесийни и презентационни слоеве, тези протоколи работят над транспортния слой в TCP/IP стека, като гарантират сигурността на трансфера на данни между интернет възлите.

IP VPN модел, при който VPN конфигурацията се предоставя от клиента

IP VPN моделът може да бъде реализиран на базата на стандарта IPSec или други VPN протоколи (PPTP, L2TP, OpenVPN). В този модел взаимодействието между рутерите на клиента се осъществява чрез WAN мрежата на доставчика на услуги. В този случай доставчикът не участва в настройката на VPN, а само предоставя своите незащитени мрежи за предаване на трафика на клиента. Мрежите на доставчици са предназначени само за капсулирани или наслагвани (прозрачни) VPN връзки между клиентски офиси.

VPN конфигурацията се извършва от телекомуникационните средства на клиента, т.е. клиентът сам контролира маршрутизирането на трафика. VPN връзката е връзка през незащитена мрежа от точка до точка: „VPN шлюз - VPN шлюз“ за свързване на отдалечени локални офис мрежи, „ VPN потребител- VPN шлюз" за свързване на отдалечени служители към централния офис.

За организиране на VPN мрежа във всеки офис на компанията е инсталиран рутер, който осигурява взаимодействие между офис мрежата и VPN мрежата. Софтуерът за изграждане на защитени VPN се инсталира на рутери, например безплатният популярен пакет OpenVPN (в този случай пакетът OpenVPN трябва да бъде конфигуриран да работи в режим на маршрутизиране). Технологията OpenVPN се базира на SSL стандарта за защитени комуникации през интернет.

OpenVPN осигурява сигурни връзки, базирани на OSI Layer 2 и Layer 3. Ако OpenVPN е конфигуриран да работи в мостов режим, той осигурява сигурни връзки на базата на 2 OSI ниво, ако е в режим на маршрутизиране - на база 3-то ниво. OpenVPN, за разлика от SSL VPN, не поддържа достъп до VPN мрежата през уеб браузър. OpenVPN изисква допълнително приложение (VPN клиент).

Рутерът на централния офис на компанията е конфигуриран като VPN сървър, а рутерите за отдалечен офис са конфигурирани като VPN клиенти. VPN сървърът и VPN клиентските рутери се свързват с интернет чрез мрежите на доставчика. В допълнение, можете да свържете компютър на отдалечен потребител към главния офис, като настроите VPN клиентска програма на компютъра. В резултат на това получаваме IP VPN модел (екранната снимка е показана на фиг. 1).

Ориз. 1. IP VPN мрежов модел (Intranet VPN + Remote Access VPN)

MPLS L3 VPN или L3 VPN модел, при който конфигурацията на VPN се предоставя от доставчика на услуги или телеком оператора (доставчик на услуги)

Нека разгледаме процеса на организиране на VPN мрежа за три отдалечени локални мрежи на офиси на клиенти на услуги (например SC-3 Corporation), разположени в различни градове, използвайки опорната мрежа MPLS VPN на доставчика на услуги, изградена на базата на MPLS L3 VPN технология. В допълнение към мрежата на корпорацията SC-3 са свързани компютър от отдалечена работна станция и лаптоп на мобилен потребител. В MPLS L3 модел VPN оборудванеДоставчикът участва в маршрутизирането на клиентския трафик през WAN.

В този случай доставката на клиентски трафик от локалните мрежи на офисите на клиента на услугата към MPLS VPN опорната мрежа на доставчика на услугата се извършва с помощта на IP технология. За организиране на VPN мрежа във всеки офис на компанията се инсталира периферен или периферен CE рутер (Customer Edge router), който е свързан чрез физически канал към един от PE edge рутерите (Provider Edge routers) на MPLS мрежата на доставчика (оператора). В същото време на физически каналсвързващите CE и PE рутери могат да работят с един от протоколите на слоя за връзка (PPP, Ethernet, FDDI, FR, ATM и др.).

Мрежата на доставчик на услуги (доставчик на услуги или телекомуникационен оператор) се състои от периферни PE рутери и основна мрежа (мрежово ядро) с превключващи етикети опорни маршрутизатори P (доставчик рутер). По този начин MPLS L3 VPN се състои от офис локални IP мрежиопорната мрежа MPLS на клиента и доставчика (MPLS домейн), която обединява разпределените локални мрежи на офисите на клиента в една мрежа.

Отдалечените локални мрежи на офисите на клиента обменят IP пакети през мрежата на MPLS доставчика, в която се формират MPLS тунели за предаване на клиентски трафик през основната мрежа на доставчика. Екранна снимка на мрежовия модел MPLS L3 VPN (Intranet VPN + VPN за отдалечен достъп) е показана на фиг. 2. За да се опрости мрежовата диаграма, се приемат следните начални условия: всички офис LAN принадлежат към една VPN, а опорната (backbone) мрежа е MPLS домейн, под единния контрол на национален доставчик на услуги (комуникационен оператор) .

Трябва да се отбележи, че MPLS L3 VPN може да се организира с помощта на няколко MPLS домейна от различни доставчици на услуги. Фигура 2 показва пълна мрежеста VPN топология.

Ориз. 2. MPLS L3 VPN мрежов модел (Intranet VPN + Remote Access VPN)

Периферните рутери CE и PE (клиент и доставчик) обменят информация за маршрутизиране помежду си, като използват един от вътрешните IGP протоколи за маршрутизиране (RIP, OSPF или IS-IS). В резултат на обмена на информация за маршрутизиране, всеки PE рутер създава своя отделна (външна) VRF (VPN Routing and Forwarding) таблица за маршрутизиране за локалната мрежа на офиса на клиента, свързан към него чрез CE рутера. По този начин информацията за маршрутизиране, получена от CE, се записва във VRF таблицата на PE.

VRF таблицата се нарича виртуална таблица за маршрутизиране и пренасочване. Само PE рутерите знаят, че MPLS мрежата има VPN за клиента. От MPLS L3 VPN мрежовия модел следва, че информацията за маршрутизиране не се обменя между CE рутерите на клиента, следователно клиентът не участва в маршрутизиращия трафик през MPLS гръбнака; VPN конфигурацията (PE-рутери и P-рутери) се извършва от доставчика (оператора).

Няколко VPN мрежи от различни клиенти могат да бъдат свързани към PE рутера (фиг. 3). В този случай се инсталира отделен протокол за маршрутизиране за всеки интерфейс (int1, int2 и т.н.) на PE рутера, към който е свързана локалната мрежа на офиса на клиента. За всеки интерфейс на PE рутер един от IGP създава VRF таблица за маршрутизиране и всяка VRF таблица за маршрутизиране съответства на VPN маршрути за всеки клиент.

Например за клиент SC-3 и негов LAN мрежи 0 (основен офис), свързан чрез CE0 към PE0, таблица VRF1 SC-3 ще бъде създадена на PE0, за LAN1 клиент SC-3 на PE1 ще бъде създадена VRF2 SC-3, за LAN2 на PE2 - VRF3 SC-3 и т.н. .., но принадлежат към един и същ VPN SC3. Таблица VRF1 SC-3 е обща за информацията за маршрутизиране на CE0 и CE4. Трябва да се отбележи, че VRF таблиците се допълват с информация за локалните мрежови адреси на всички други офиси на даден клиент, използващи протокола MP-BGP (мултипротоколен BGP). Протоколът MP-BGP се използва за обмен на маршрути директно между PE рутери и може да носи VPN-IPv4 адреси в информация за маршрутизиране.

VPN-IPv4 адресите се състоят от изходни IPv4 адреси и RD (Route Distinguisher) префикс или разграничител на маршрут, който идентифицира конкретния VPN. В резултат на това VRF таблици ще бъдат създадени на PE рутери с идентични маршрути за един VPN мрежи. Само онези PE рутери, които участват в организирането на същата клиентска VPN мрежа, обменят информация за маршрутизиране помежду си, използвайки протокола MP-BGP. RD префиксът е конфигуриран за всяка VRF таблица.

Информация за маршрутизиране, обменяна между PE рутери чрез протокола MP-BGP чрез глобален или вътрешен интерфейс:

• Мрежов адрес на дестинация (VPN-IPv4);
• Адрес на следващия рутер за протокола (следващ хоп);
• Lvpn етикет – определя се от номера на интерфейса (int) на PE рутера, към който е свързана една от офис локалните мрежи на клиента;
• Атрибутът на съобщението RT (route-target) е VPN атрибут, който идентифицира всички офис LAN, принадлежащи към една и съща клиентска корпоративна мрежа или една VPN.

Ориз. 3. PE рутер

Освен това всеки PE рутер обменя информация за маршрутизиране с опорните P маршрутизатори, използвайки един от вътрешните протоколи за маршрутизиране (OSPF или IS-IS) и също така създава отделна (вътрешна) глобална таблица за маршрутизиране (GRT) за опорната мрежа MPLS. Външната (VRF) таблица и вътрешната (GTM) глобална таблица за маршрутизиране в PE рутери са изолирани една от друга. P рутерите обменят информация за маршрутизиране между себе си и PE рутерите, използвайки традиционни протоколи за вътрешно маршрутизиране на IP (IGP), като OSPF или IS-IS, и създават свои таблици за маршрутизиране.

Въз основа на таблици за маршрутизиране, използващи протоколи за разпространение на етикети LDP или протоколи RSVP, базирани на технологията за инженеринг на трафика, таблиците за превключване на етикети са изградени на всички P рутери (FTN се създават на PE), образувайки специфичен LSP (пътища за превключване на етикети) маршрут. Резултатът е LSP маршрути с комутация на етикети, където IP пакетите се препращат въз основа на стойностите на етикетите на MPLS заглавките и локалните таблици за превключване, а не на IP адреси и таблици за маршрутизиране.

MPLS хедър се добавя към всеки IP пакет, влизащ във входящия PE рутер и се премахва от изходящия PE рутер, когато пакетите напуснат MPLS мрежата. MPLS хедърът не използва етикет, а стек от два етикета, т.е. Входящият PE присвоява два етикета на пакета. Единият от тях е външен L, другият е вътрешен Lvpn. Външен знак или етикет Най-високо нивостекът се използва директно за превключване на пакета през LSP от входния към изходния PE.

Трябва да се отбележи, че PE маршрутите навлизат в трафик към конкретен LSP въз основа на FEC (клас на еквивалентност на препращане). FEC е група от пакети за условия, транспортирането на които има еднакви изисквания. Пакетите, принадлежащи към един и същ FEC, пътуват по един и същ LSP. Може да се извърши FEC класификация различни начини, например: по IP адрес на целевата мрежа (мрежов префикс), тип трафик, инженерни изисквания и др.

Ако използвате класификация по IP адрес на целевата мрежа, тогава за всеки префикс на целевата мрежа a отделен клас. В този случай протоколът LDP напълно автоматизира процеса на създаване на класове и присвояване на стойности на етикети към тях (Таблица 1). На всеки входящ пакет, който се насочва от PE рутера към конкретен IP адрес в офисната мрежа, се присвоява специфичен етикет въз основа на FTN таблицата.

Таблица 1. FTN (FEC до следващия хоп) на рутер PE1

От таблица 1 следва, че стойността на външния етикет се присвоява от входния рутер PE1 въз основа на IP адреса на офисната локална мрежа. Вътрешният етикет или етикетът на долното ниво на стека не участва в процеса на превключване на пакета през LSP от входа към изхода PE, но определя VRF или интерфейса на изхода PE, към който се свързва LAN на офиса на клиента е свързан.

Обмен на информация за VPN маршрут чрез MP-BGP протокол

Информация за маршрутизиране (информация за VPN маршрут), която рутер PE1 предава на рутер PE2 чрез BGP (червени линии):

• VPN-IPv4 адрес: 46.115.25.1:106:192.168.1.0;
• Следващ хоп = 46.115.25.1;
• Lvpn=3;
• RT = SC-3.

Разграничителят на маршрута RD=46.115.25.1:106 се добавя към IPv4 адреса на LAN 1 на Регионален офис 1. Където 46.115.25.1 е IP адресът на глобалния интерфейс на PE1, чрез който PE1 комуникира с P рутерите. За този VPN SC-3 маршрут мрежовият администратор на доставчика в рутер PE1 или PE1 присвоява етикет (номер), например 106.

Когато PE2 получи мрежовия адрес на местоназначение VPN-IPv4 от PE1, той отхвърля разделителя на RD маршрута, поставя адреса 192.168.1.0 в таблицата SC-3 VRF3 и отбелязва, че записът е направен от BGP. В допълнение, той рекламира този маршрут към клиентския рутер CE2, свързан към него за този VPN SC-3.

Таблицата VRF3 SC-3 също се актуализира с протокола MP-BGP - относно мрежовите адреси на други LAN офиси на този VPN SC-3. Рутер PE1 също изпраща информация за маршрутизиране към други рутери чрез протокола MP-BGP: PE0 и PE3. В резултат на това всички маршрути във VRF таблиците на рутери (PE0, PE1, PE2 и PE3) съдържат адресите на всички LAN мрежиофиси на този клиент във формат IPv4.

Ориз. 4. VRF таблици на рутери (PE0, PE1, PE2 и PE3)

Информация за маршрутизиране, която рутер PE2 предава на рутер PE1 чрез протокола MP-BGP (червени линии):

• VPN-IPv4 адрес: 46.115.25.2:116:192.168.2.0;
• Следващ хоп = 46.115.25.2;
• Lvpn=5;
• RT=SC-3.

Нека разгледаме как се осъществява обменът на данни между PC 2 (IP: 192.168.1.2) от LAN1 мрежата и PC 1 (IP: 192.168.3.1) от LAN мрежата. За достъп до файлове, разположени в директории или логически устройства PC 1 (LAN) със споделен достъп, трябва да въведете \\192.168.3.1 на PC 2 (LAN1) в реда „Намиране на програми и файлове“ (за Win 7 OS) и натиснете Enter. В резултат на това екранът на PC 2 ще покаже споделените директории („споделени“ директории или папки), които се намират на PC 1. Как става това?

Когато натиснете клавиша Enter на PC 2 (LAN1), на мрежово ниво се генерира пакет с целевия IP адрес 192.168.3.1. Първо, пакетът пристига в рутер CE1 (фиг. 5), който го препраща в съответствие с таблицата за маршрутизиране към int3 интерфейса на рутер PE1, тъй като това е следващият рутер за достъп до мрежата 192.168.3.0/24, в кои компютри 1 се намират (LAN GO) с IP адрес 192.168.3.1. Таблицата за маршрутизиране на VRF2 SC-3 е свързана с интерфейса int3, така че по-нататъшното пренасочване на пакета се основава на неговите параметри.

Както може да се види от таблицата VRF2 SC-3, следващият рутер, който препраща пакета към мрежата 192.168.3/24, е PE0 и този запис е направен от протокола BGP. Освен това таблицата показва стойността на етикета Lvpn=2, който дефинира интерфейса на изходящия рутер PE0. От това следва, че по-нататъшното движение на пакета към мрежата 192.168.3/24 се определя от параметрите на глобалната таблица за маршрутизиране GTM PE1.

Ориз. 5. Трансфер на данни между PC2 (192.168.1.2) и PC1 (192.168.3.1) мрежи LAN1 и LAN на главния офис на KS SC-3

В глобалната таблица (GTM PE1) адресът на следващия рутер (NH - Next Hop) PE0 съответства на първоначалната стойност на външния етикет L=105, който определя LSP пътя до PE0. Пакетът се препраща по LSP въз основа на L-етикета на най-горното ниво на стека (L=105). Докато пакетът преминава през рутер P3 и след това през рутер P1, етикетът L се анализира и заменя с нови стойности. След достигане на пакета крайна точка LSP, рутер PE0 изтрива външен белег L от MPLS стека.

След това рутер PE0 изважда долния етикет на стека Lvpn=2 от стека, който определя интерфейса int2, към кой рутер CE0 от локалната мрежа на главния офис на клиента (HO LAN) е свързан. След това от таблицата (VRF1 SC-3), съдържаща всички VPN SC3 маршрути, рутерът PE0 извлича записа за стойността на етикета Lvpn=2 и свързания маршрут към мрежа 192.168.3/24, който сочи към CE0 като следващ рутер. От таблицата следва, че записът на маршрута е поставен в таблицата VRF1 SC-3 от IGP протокола, така че пътят на пакета от PE0 до CE0 се осъществява чрез IP протокола.

По-нататъшното преместване на пакета от CE0 към PC 1 с IP адрес 192.168.3.1 се извършва с помощта на MAC адреса, тъй като CE0 и PC 1 (192.168.3.1) са в една и съща LAN. След получаване на пакета заявка от PC 2, операционната система на PC 1 ще изпрати копия на своите директории, които да бъдат споделени с PC 2. операционна система PC 2, след като получи копия на споделени директории от PC 1, ги показва на екрана на монитора. По този начин, чрез обществени мрежиДоставчикът на MPLS използва виртуални LSP канали за обмен на данни между два компютъра, принадлежащи към различни локални мрежи на офиси на един и същи клиент.

Що се отнася до свързването на отдалечен мобилен потребител към ресурсите на географски разпределена корпоративна мрежа, то може да се реализира с помощта на една от технологиите за отдалечен достъп VPN (Remote Access IPSec VPN и SSL VPN). Трябва да се отбележи, че технологията SSL VPN поддържа два вида достъп: пълен мрежов достъп и без клиент. Безклиентската SSL VPN технология осигурява отдалечен достъп до мрежата през стандартен уеб браузър, но в този случай са налични само мрежови приложения с уеб интерфейс. SSL VPN технология с пълен достъп до мрежата, след инсталиране на компютър допълнително приложение(VPN клиент) осигурява достъп до всички ресурси на географски разпределена корпоративна мрежа.

Като правило, отдалечен потребител се свързва към MPLS L3 VPN чрез сървър за отдалечен достъп (RAS), който се свързва към един от PE рутерите на MPLS мрежата. В нашия случай мобилен потребителчрез мрежата за достъп (Интернет) е свързан с помощта на Remote Access IPSec VPN към RAS, който е свързан към рутера PE0. По този начин мобилният потребител се свързва чрез IPSec VPN към своята корпоративна мрежа (SC-3 corporation), организирана на базата на MPLS L3 VPN.

MPLS L2 VPN модел, при който VPN конфигурацията се предоставя от ISP или телеком оператор (доставчик на услуги)

Възможно е да се организира единно информационно пространство в три офиса (например корпорация SC-3), разположени в рамките на един и същи град, на базата на широколентовата мрежа на телекомуникационния оператор Metro Ethernet (L2 VPN). Една от услугите на мрежите Metro Ethernet е организирането на корпоративни мрежи чрез опорни мрежи MAN (градски телекомуникационни мрежи). За организиране на Metro Ethernet VPN (L2 VPN) се използват различни технологии, например AToM (главно EoMPLS), 802.1Q, L2TPv3 и т.н., но най-обещаващата технология е MPLS L2 VPN или VPLS. В този случай доставката на клиентски трафик от локалните мрежи на офисите на клиента на услугата до MPLS VPN основната мрежа на доставчика на услугата се извършва с помощта на технология от втори слой (Ethernet, Frame Relay или ATM).

Телекомуникационните оператори предоставят два типа Ethernet мрежови услуги за организиране на виртуални частни мрежи на второто ниво на OSI модела, които се формират на базата на MPLS технология - това са VPWS (Virtual Private Wire Services) и VPLS (Virtual Private LAN Services). Тези VPN са изградени на базата на псевдо-канали (pseudowire), които свързват крайните PE рутери на мрежата на доставчика (MPLS домейн). LSP тунелите или логическите канали се създават с помощта на етикети, в които се полагат псевдо-канали (емулирани VC) и MPLS пакетите се предават по тези псевдо-канали. VPWS е базиран на Ethernet през MPLS (EoMPLS). Но в VPLS, за разлика от VPWS мрежите от точка до точка (P2P), псевдо-каналите са организирани с помощта на връзки от точка до много точки (P2M).

В VPLS има два начина за установяване на псевдоканали между всеки два PE, които са част от даден VPLS (използвайки BGP протокола и LDP протокола за разпространение на етикети). Разширеният BGP протокол (MP-BGP) осигурява автоматично откриване на PE, които взаимодействат при изграждане на географски разпределена LAN, базирана на услугата VPLS, и сигнализиране на етикети на виртуални вериги (vc-етикети). Разширеният LDP протокол може също да се използва за сигнализиране на vc-етикети. В този случай идентифицирането на всички PE рутери, които са част от този VPLS, се извършва в режим на ръчно конфигуриране.

Можете също да използвате системи за управление, които автоматизират търсенето и конфигурирането на PE устройства за организиране на VPLS услуги. Той използва стек от етикети за предаване на кадри, горният етикет е за LSP тунели, който се използва за достигане до изходния PE. Долният етикет е VC етикет, който се използва за демултиплексиране на виртуални канали (псевдопроводници), предавани в рамките на същия тунел. Един тунел може да има множество псевдоканали за различни екземпляри на VPLS.

Създават се отделни VSI виртуални превключватели за всеки VPLS екземпляр на PE. VSI комутаторите научават MAC адреси и изграждат таблици за пренасочване на MPLS пакети. Въз основа на данните от таблицата за пренасочване VSI комутаторите, след като са получили кадри, капсулирани в MPLS пакети, ги препращат към псевдоканали, водещи до крайните PE, към които са свързани крайните комутатори CE на LAN сегментите на офисите на клиента.

Въз основа на VPWS (точка до точка) е възможно да се комбинират две подмрежи на офиси на корпорация в една мрежа с едно IP адресиране от край до край. VPLS е технология, която осигурява многоточкови връзки през базирана на пакети IP/MPLS мрежова инфраструктура. VPLS ви позволява да комбинирате няколко географски разпределени локални мрежи от корпоративни офиси в една локална мрежа. В този случай основната MPLS мрежа на доставчика на услуги е виртуален Ethernet комутатор (L2 комутатор), който препраща Ethernet кадри между LAN сегменти на отделни клиентски офиси. Диаграмата на географски разпределена (в рамките на града) локална мрежа на корпорацията е показана на фиг. 6.

Ориз. 6. Схема на географски разпределена (в рамките на града) локална мрежа на корпорацията

Същността на концепцията VPLS е прозрачното предаване на Ethernet PC рамки на локални офис мрежи (сегменти от клиентски офис мрежи) на клиента през MPLS опорната мрежа на доставчика. Граничните устройства от страна на клиента на VPLS 1 са комутатори CE0, CE1, CE2, които са свързани към устройства PE0, PE1, PE2. PE рутерите комуникират помежду си, за да идентифицират всички PE, свързани към VPLS 1. PE и P устройствата изграждат таблици за маршрутизиране, от които се създават LSP и псевдовръзки.

Както BGP, така и LDP могат да се използват като протоколи за сигнализиране. Виртуални комутатори VSI 1 на устройства PE0, PE1, PE2 изграждат таблици за препращане на MPLS пакети. Например, VSI 1 на устройство PE0 генерира таблицата за превключване, показана на фиг. 6. Когато Ethernet рамка пристигне от един от главните офисни LAN компютри на входа на устройство PE0, тя капсулира Ethernet рамката в MPLS пакет и, използвайки таблицата за превключване, го препраща към тунела, през който пакетът пристига в изходно устройство PE1.

За препращане на пакет през MPLS мрежа (чрез псевдоканали в LSP тунели) се използва стек от етикети, който се състои от LSP тунелен етикет и псевдоканал VC етикет, например 15. На изходното устройство PE1, MPLS пакетите се преобразуват в Ethernet рамки и се препращат към комутатор C1, към който целевият компютър е свързан с MAC адрес 90:5C:E7:C8:56:93. Документите RFC 4761 и RFC 4762 подробно описват методите за сигнализиране, базирани на протоколите BGP и LDP за локални мрежи, организирани с помощта на VPLS услуги.

Списък с източници на информация:

1. Компютърни мрежи. Принципи, технологии, протоколи: Учебник за ВУЗ. 4-то изд. / В.Г. Олифер, Н.А. Олифер – Санкт Петербург. Петър, 2010. – 944 с.

2. Олвайн, Вивек. Структура и реализация на съвременна MPLS технология.: Пер. от английски – М.: Издателска къща Уилямс, 2004. – 480 с.