Konsolidering av bedriftskontorer basert på VPN-teknologier. VPN-tilkobling: hva er det og hva er en VPN-kanal for?

Organisering av et bedrifts VPN-nettverk basert på ViPNet-systemet fra Infotecs

• Bruker kun innenlandsk symmetrisk kryptering, hashing og asymmetrisk kryptering og elektronisk digital signatur (GOST 28147-89, GOST 34.11-94, GOST 34.10-2001)
• Tilgjengelighet av FSTEC- og FSB-sertifikater for både kryptografiske produkter og produkter generelt (for programvare- og maskinvaresystemer)
• Sertifiserte brannmurløsninger
• Organisering av spesielle betingelser for tilgang til åpne nettverk (umulighet for samtidig tilgang til ressurser til åpne nettverk og et sikkert nettverk)
• Beskyttelse av overførte data gjennom kryptering på alle nettverkssegmenter (alle deler av datapassasjen starter fra arbeidsstasjonen).

En typisk løsning består av følgende funksjonelle komponenter(se fig. 2):

Fig.2

• Administratorens arbeidsstasjon – programvarepakke for førstegangs oppsett og virtuell privat nettverksadministrasjon.
• Programvare VIPnet-klient(klientprogramvare) – programvare, installert på hver arbeidsstasjon (eller server med MS Windows-operativsystemet), som det er nødvendig å gi kryptografisk beskyttelse av overførte data for - implementerer funksjonene til trafikkkryptering og en personlig brannmur.
• Crypto gateway er et programvare- og maskinvarekompleks (spesialisert enhet) som utfører funksjonene ruting, terminering av virtuelle private nettverkstunneler og en bedriftsbrannmur
• Åpen Internett-server er et programvare- og maskinvarekompleks som utfører funksjonen til en sikker proxy-server for tilgang til Internett-ressurser.

Vær oppmerksom på at oppgaven her ikke er å forklare alt grundig og teknisk riktig, oppgaven er å forklare det "på fingrene" slik at selv nybegynnere kan forstå. Jeg håper det ordnet seg. Hvis du har spørsmål, spør dem i kommentarene.

Essensen av hvordan en VPN-server fungerer er som følger:. For eksempel vil du gå til nettstedet yandex.ru. Mer presist, koble til en server med IP 77.88.21.11 (beboere i de østlige regionene i Russland kan bli sendt til en server med en annen IP, men det er ikke poenget). Når du jobber uten VPN, sender datamaskinen din en pakke (man kan si en forespørsel) direkte til serveren med adressen 77.88.21.11 og mottar et svar fra den. Når du arbeider via en VPN, sender datamaskinen din en pakke til VPN-serveren, VPN-serveren sender nøyaktig samme pakke til 77.88.21.11, 77.88.21.11 sender et svar til VPN-serveren (fordi det var VPN-serveren som opprinnelig sendte forespørsel), og VPN-serveren sender denne pakken til datamaskinen din.

Hva har vi? Forespørsler til adressen 77.88.21.11 sendes ikke av datamaskinen din, men av VPN; følgelig registrerer serveren 77.88.21.11 IP-adressen til VPN-serveren, og ikke datamaskinen din.

En av de mulige årsakene VPN-applikasjoner – må skjule IP-adressen din.

Annen bruk – behov for å endre trafikkrute. La oss ta et eksempel fra livet. Forfatteren av denne artikkelen bor i byen Orel (Sentral-Russland) og ønsker å koble til yunpan.360.cn-serveren i Beijing. Forfatteren bruker (eller rettere sagt, brukte på det tidspunktet) tjenestene til Beeline Internett-leverandør. Som vist av tracert yunpan.360.cn-kommandoen angitt på kommandolinjen Windows linje, går utgående Internett-trafikk til denne kinesiske serveren gjennom USA. Sporet viser ikke hvordan trafikken går tilbake, men etter pinget å dømme følger den omtrent samme rute. Nedenfor er et skjermbilde fra VisualRoute 2010.

Denne rutingen skyldes det faktum at Beeline ikke betalte ryggradsinternettleverandører for en mer direkte kanal til Kina.

Med denne ruten oppstår det store pakketap, hastigheten er lav og pinget er enormt.

Hva å gjøre? Bruk en VPN. Dette er en VPN-server som vi har en direkte rute til, og som det er en direkte rute til yunpan.360.cn fra. Jeg (artikkelforfatteren) søkte etter en akseptabel løsning i svært lang tid og fant den til slutt. En virtuell server ble leid (hva dette er vil bli diskutert senere) i Krasnoyarsk (forestill deg umiddelbart hvor byen Krasnoyarsk ligger) fra en vertsleverandør. Sporing til serveren viste at trafikken reiste over Russland, ping var 95 ms (jeg hadde et mobilt LTE (4G) Internett, på et kablet Internett ville pinget være 5-10 ms lavere).

Ping– dette er forsinkelsen av Internett-signalet. Forsinkelsen for passering av Internett-trafikk i begge retninger (tur-retur) måles. Mål forsinkelse kun i én retning standard betyr er umulig, fordi datamaskinen din sender en forespørsel til den pingede serveren og registrerer tiden det tar før svaret kommer.

I spor vises også ping til hvert punkt (til hvert punkt på ruten, ellers kalt en hop-hop) for trafikk i begge retninger.

Det hender ofte at ruten er forskjellig i forskjellige retninger.

Deretter ble det laget et spor fra Krasnoyarsk-serveren til yunpan.360.cn. Ping er rundt 150 ms. Sporingen viste at trafikk fra Krasnoyarsk-serveren til den kinesiske går gjennom direkte peering (internettverksinteraksjon) mellom Transtelecom- og China Telecom-leverandørene.

Her er dette sporet (laget av Linux):

tracepath yunpan.360.cn
1?: pmtu 1500
1: srx.optibit.ru 0,361ms
1: srx.optibit.ru 0,381ms
2: border-r4.g-service.ru 0,392ms
3: kyk02.transtelecom.net 0.855ms asymm 5
4: 10.25.27.5 112.987 ms asymm 8
5: ChinaTelecom-gw.transtelecom.net 125.707ms asymm 7
6: 202.97.58.113 119.092 ms asymm 7
7: 202.97.53.161 120.842 ms asymm 8
8: ingen svar
9: 220.181.70.138 122.342 ms asymm 10
10: 223.202.72.53 116.530ms asymm 11
11: 223.202.73.86 134.029 ms asymm 12
12: ingen svar

Hva ser vi? Krasnoyarsk-serveren er vert for optibit.ru (hosting er en tjeneste for plassering og leie av serverkapasitet) og er koblet til Internett-leverandøren "Igra-Service" (g-service.ru). Igra-Service sender på sin side trafikk til yunpan.360.cn gjennom den store russiske ryggradsleverandøren Transtelecom (som det betaler ham penger for). TTK dirigerer trafikk gjennom sin direkte forbindelse til nettverket til den kinesiske ryggradsleverandøren China Telecom, ChinaTelecom-gw.transtelecom.net hop-domenet forteller oss dette.

La oss huske hva problemet vårt var. Trafikken vår til den kinesiske serveren gikk gjennom USA, hastigheten var lav. Hva jeg har gjort? Jeg installerte en VPN på denne Krasnoyarsk-serveren. Og konfigurerte datamaskinen min til å fungere gjennom denne VPN-serveren. Hva skjedde? Nå gikk ikke trafikken til yunpan.360.cn langs den gamle ruten Orel-Moskva-USA-Kina, men slik:

først til VPN-serveren – Orel-Krasnoyarsk,

deretter fra VPN-serveren til Beijing - Krasnoyarsk-Beijing.

Fikk du poenget? Vi har endret ruten vår. Hva ga det? Hastigheten på den utgående tilkoblingen fra meg til yunpan.360.cn har økt. Ping er redusert. Resultatet ble oppnådd.

Hvordan bestemme ruten din? For nybegynnere er den enkleste måten å gjøre dette på å bruke VisualRoute-programmet, som finnes på Internett i både lisensiert og hacket form.

Du må kjøre dette programmet og angi følgende innstillinger:

Det vil bli slik:

Ved å bruke denne tabellen vil du se hvilke land trafikken går gjennom. Nok en gang gjør jeg oppmerksom på at sporet kun viser ruten for utgående trafikk (det vil si trafikk fra datamaskinen til serveren). Ruten i motsatt retning kan bare vises av et spor laget fra serveren til datamaskinen din. VisualRoute har en liten feil: den vises ofte Australia (?) som et land når det ikke kan bestemme den virkelige geoposisjonen til noden.

VPN– Virtuelt privat nettverk – et virtuelt privat nettverk er, kan man si, ditt eget nettverk på toppen av Internett, hvor all trafikk er kryptert. Du kan studere denne teknologien i detalj. For å forklare det veldig enkelt, så:

• datamaskinen og VPN-serveren kobles til over Internett
• all trafikk mellom deg og VPN-serveren er kryptert
• VPN-serveren sender den til destinasjonen
• IP-adressen din er skjult og IP-adressen til VPN-serveren er synlig i stedet

Det anbefales å bruke en VPN når du arbeider gjennom gratis (eller ganske enkelt andres) WiFi, siden det er mulig å avskjære all trafikk som går gjennom WiFi-ruteren. Og når ved å bruke en VPN all trafikk vil være kryptert. Videre, hvis du går til yandex.ru, vk.com og google.ru uten VPN, vil tilkoblinger til yandex.ru, vk.com og google.ru bli registrert på ruteren og Internett-leverandøren din. Når du bruker en VPN, går alle tilkoblinger til VPN-serveradressen.

Det er mange betalte VPN-tjenester. Deres fordeler inkluderer bare brukervennlighet. Ulemper inkluderer: høy kostnad, mangel på 100 % konfidensialitet (du kan skrive mye, men det som faktisk skjer på VPN-serveren, om trafikken blir fanget opp, kan ikke garanteres). Manglende evne til å endre IP-adressen med et par klikk bør også betraktes som en ulempe ved betalte tjenester.

La oss sammenligne kostnadene for vår egenkonfigurerte løsning og betalte VPN-tjenester. Sistnevnte koster rundt 300 rubler. per måned. Vår løsning vil koste $0,007 per time. Hvis vi ikke bruker VPN akkurat nå, betaler vi ikke. Hvis den brukes i 2 timer hver dag i 30 dager, vil denne gleden koste oss 30-50 rubler.

Vi vil gjøre følgende:

1. Vi leier en server for VPN.
2. La oss sette opp en VPN på den.
3. Vi bruker dem og betaler kun for hver time reell bruk VPN.

Trinn 1. Server utleie.

Nei, vi vil ikke leie en fullverdig server. Vi leier virtuell server – VPS(virtuell privat server). I mange tilfeller krever ikke hosting av nettsteder på Internett eller for andre formål (inkludert organisering av en VPN) stor serverkapasitet, men du må tilpasse serveroperativsystemet. Flere operativsystemer kan ikke kjøres samtidig på én datamaskin (inkludert en server, fordi det er samme datamaskin, bare vanligvis kraftigere). Hva burde jeg gjøre? Virtuelle maskiner kommer til unnsetning. Denne teknologien lar deg kjøre et operativsystem innenfor et operativsystem, som kalles virtualisering. Når det gjelder servere, lages det også analoger av virtuelle maskiner - virtuelle servere.

Det er flere vanlige virtualiseringsteknologier. De vanligste er OpenVZ, KVM, Xen. Grovt sett har Xen og KVM hver virtuell maskin de lager sin egen "imitasjonsmaskinvare", sitt eget operativsystem osv. I tilfelle av OpenVZ brukes en felles OS-kjerne, som et resultat av at noen funksjoner (for eksempel å gjøre endringer i OS-kjernen) blir utilgjengelige, eller de kan aktiveres eller deaktiveres bare for alle VPS samtidig. VPS på Xen og KVM er som regel mer stabile i drift, men forskjellen er kun betydelig for store prosjekter der serverfeiltoleranse er kritisk.

VPS på OpenVZ er alltid billigere, siden én virtuell server krever færre ressurser. På grunn av den lavere prisen vil vi rette oppmerksomheten mot VPS basert på OpenVZ.

Merk følgende! Noen hostingselskaper (selskaper som leverer serverutleietjenester) blokkerer bevisst VPN-drift på OpenVZ-baserte servere! Derfor, før du leier en slik server, må du sjekke med støttetjenesten (fra bra vertskap den skal svare innen 15 minutter, maksimum en time) om VPN vil fungere.

En personlig VPN er nok til å fungere på en server minimal konfigurasjon– 256 MB RAM og 0,5-1 GHz prosessor. Imidlertid gir ikke alle hostingleverandører VPS 256 MB RAM: mange har en minimumstariff på 512 MB RAM. En slik VPS vil være mer enn nok for oss.

Hvilke andre kriterier for å velge en VPS finnes? Som du allerede forstår, vil Internett-trafikk konstant "gå" fra deg til VPS og tilbake. Derfor må hovedkanaler ha tilstrekkelig gjennomstrømning rundtur. Med andre ord, hastigheten på Internett-tilkoblingen mellom datamaskinen og VPS-en må være tilstrekkelig til å utføre oppgavene du trenger. Til hverdags komfortabelt arbeid 15 Mbit/s er nok, og skal du laste ned torrents via VPN, så kan det hende du trenger alle 100 Mbit/s. Men! Hvis du og VPS er på nettverkene til forskjellige Internett-leverandører (spesielt i forskjellige byer), er det lite sannsynlig at ryggradsnettverkene vil "strekke" mer enn 70 Mbit/s innenfor Russland (eller ditt land) og mer enn 50 Mbit/ s med servere i Europa.

De fleste vertstjenester krever månedlige betalinger. Det er verdt å merke seg med en gang at prisklassen er veldig stor med omtrent samme kvalitet. Vi vil bruke tjenester med en timepris: $0,007 per time av serverens arbeid. Derfor, hvis vi bruker VPN i 2 timer hver dag, betaler vi omtrent 30 rubler per måned. Enig, dette er ikke 350 rubler/måned for en betalt VPN-tjeneste!

Først av alt må du gå til nettsiden og registrere deg:

Deretter åpnes en side der du må spesifisere detaljene dine. bankkort. Uten dette vil systemet ikke fungere og vil ikke tillate deg å dra nytte av bonusen på 10 dollar (mer om dette senere). Du kan spesifisere alle data, systemet vil "spise" falske data.

I dette tilfellet kan et beløp på flere rubler blokkeres på kortet ditt, som deretter vil bli returnert. Belastninger fra kortet ditt vil kun være basert på det faktum at du bruker serverne.

Hva gjør du hvis du ikke har bankkort? Skaff deg et, det gir deg automatisk et virtuelt kort, hvor saldoen er lik saldoen i lommeboken din. Du kan fylle på lommeboken nesten hvor som helst.

Men hvis du legger inn Qiwi-kortdetaljene dine i DigitalOcean, vil systemet spytte det ut, med henvisning til at DigitalOcean ikke fungerer med forhåndsbetalte og virtuelle kort. I dette tilfellet må du fylle på saldoen med $5 via PayPal ved å betale med et Qiwi-kort.

Etter alt dette, på samme side i din DigitalOcean personlige konto, skriv inn kampanjekoden DRÅPE10, som krediterer oss med 10 dollar, som vi fullt ut kan bruke på serverne uten frykt for ekstra kostnader fra kortet vårt.

Klar! La oss nå gå videre til å lage en VPS. Se videoopplæringen:

Når du oppretter en server, velg Ubuntu OS versjon 14.04, og ikke noen nyere, inkl. ikke velg 16.04.

Merk. For de fleste innbyggere i Russland og CIS-landene vil Amsterdam eller Frankfurt være passende (ping til Frankfurt vil i de fleste tilfeller være litt mindre enn til Amsterdam). Jeg anbefaler at innbyggere i det russiske fjerne østen tester Singapore og sammenligner ytelsen med europeiske servere.

Plasseringen av servere i utlandet vil tillate deg å bruke en VPN for å omgå offentlige forbud mot å besøke visse nettsteder (hvis dette er relevant for deg).

DigitalOcean inkluderer 1 terabyte (1024 GB) trafikk i prisen (se). For de fleste vil dette være nok. Andre vertsleverandører har formelt ubegrenset trafikk, men det blir ulønnsomt for dem når terskelen på 1-2 TB/måned er nådd.

Det var det, vi bestilte VPS. Gratulerer. Nå er det på tide å gå videre til å sette den opp.

Steg 2. Sette opp en VPN.

Ikke vær skremt, prosessen med å sette opp din egen VPN så enkelt som to eller to!

I videoopplæringen ovenfor koblet vi til serveren vår ved hjelp av Putty. La oss nå fortsette.

Kopier og lim inn (ved å høyreklikke med musen, som vi gjorde i videoopplæringen) kommandoen:

Kopier og lim inn følgende i filredigeringsvinduet som åpnes:

Trykk Ctrl+O og deretter Enter.

Trykk Ctrl+X.

Kopier og lim inn kommandoen:

Skriv inn 1 og trykk Enter. Vi venter. I henhold til systemforespørslene, skriv inn ønsket pålogging og trykk Enter. Samme med passordet. For spørsmålene "[Y]/[N]", skriv inn Y ​​og trykk Enter. Etter å ha fullført oppsettet, vil påloggings- og passordet vårt og serverens IP-adresse vises.

Klar! VPN er konfigurert!

Åpne nå "Nettverks- og delingssenter" delt tilgang»Windows:

Velg innstillingene for en ny tilkobling:

Velg "Koble til en arbeidsplass":

Vi venter litt. Vi jobber nå via VPN! For å være sikker på dette, gå til og sørg for at vår IP-adresse som vises til oss, samsvarer med IP-adressen til vår VPS.

Nå oppmerksomhet! Gjennom Personlig område DigitalOcean kan vi slå av vår VPS (dråpe i DigitalOcean terminologi), men selv for serveren i av-tilstand avskrives midler iht. standard tariff. Så vi tar backup av serveren vår, sletter den, og når vi trenger VPN igjen, gjenoppretter vi den fra sikkerhetskopien!

La oss gå videre til serveradministrasjon (DigitalOcean-kontrollpanelet er plassert på cloud.digitalocean.com, du kan skrive det inn via Logg på-knappen på hovedsiden til digitalocean.com i øvre høyre hjørne).

Vi må lage en sikkerhetskopi (øyeblikksbilde) av vår VPS. Men for å gjøre dette, må du først slå den av.

Vi venter omtrent et minutt til serveren slår seg av. Gå deretter til Snapshots-delen, skriv inn et tilpasset navn for øyeblikksbildet og lag det:

For hver gigabyte "vekt" av vår VPS, vil 2 cent bli belastet når du lager et øyeblikksbilde. Å lage en sikkerhetskopi (øyeblikksbilde) vil ta noen minutter.

Nå sletter vi serveren:

Alle! Det vil ikke bli trukket mer penger fra oss for noe.

Hva du skal gjøre når du trenger en VPN igjen

Vi må lage en ny VPS fra sikkerhetskopien vi laget før.

Klikk på "opprett dråpe":

Nå, som før, skriv inn et hvilket som helst servernavn med latinske bokstaver uten mellomrom, velg den første minimumstariffen, regionen må være den samme, den samme som den vi tidligere hadde en server i.

Rett nedenfor klikker du på navnet på bildet vi tok (det var grått, men skulle bli blått):

...og klikk på den store grønne "Opprett dråpe"-knappen.

Vi venter omtrent et minutt.

La oss se om IP-adressen til serveren vår samsvarer med den forrige. Hvis ja, i Windows gjenopptar vi ganske enkelt den tidligere opprettede tilkoblingen:

Hvis ikke, klikk Høyreklikk Hold musen over navnet på tilkoblingen vår og endre IP-adressen til en ny:

Skriv inn den nye IP-en og klikk "OK":

Merk følgende! Nå, for å slå av VPN, trenger vi ikke å lage en sikkerhetskopi, vi sletter bare serveren med en gang, og neste gang gjenoppretter vi alt fra det gamle øyeblikksbildet. Det er ikke nødvendig å slå av serveren før sletting. Bare i tilfelle, dette er prosedyren i skjermbildene:

Vi fjernet VPS mens vi ikke brukte VPN. La oss nå gjenopprette det fra det gamle øyeblikksbildet:

Igjen sjekker vi om den gamle IP-en fortsatt er der og fortsetter å fungere.

På samme server (eller en annen) kan du heve din personlige proxy, for eksempel til 3proxy-programvarebasen, men dette er ikke temaet for denne artikkelen.

Fant du en skrivefeil? Trykk Ctrl + Enter

Internett har kommet godt inn i livene våre, og hvis tidligere, i løpet av årene med dominansen av analoge modemer, for å få tilgang til Internett var det nødvendig å ta hensyn til både trafikkvolumet og tilkoblingstiden, men i dag et ubegrenset Internett tilkobling har blitt normen. Det vil si at hvis det ikke er Internett til enhver tid og i noe "volum", så er dette allerede noe utenom det vanlige. Dessuten, hvis tilstedeværelsen av ubegrenset Internett tidligere ble ansett som en de facto standard for bedriftsnettverk, har det i dag allerede blitt normen for sluttbrukere. Etter hvert som Internett utvikler seg, endres også den konseptuelle modellen for bruken. Flere og flere nye tjenester dukker opp, som video on demand og VoIP, peer-to-peer fildelingsnettverk (BitTorrent) etc. Nylig har organiseringen av virtuelle private nettverk (VPN) over Internett med muligheten til å organisere ekstern tilgang til hvilken som helst datamaskin som en del av dette nettverket har blitt veldig populær. Hvordan dette kan gjøres vil bli diskutert i denne artikkelen.

Hvorfor er dette nødvendig?

Organisering av VPN-nettverk over Internett eller i et lokalt nettverk har mange bruksområder: nettverksspill på Internett omgåelse spillservere(akkurat som spill over et lokalt nettverk), oppretter en lukket utenforstående nettverk for overføring konfidensiell informasjon, muligheten for ekstern og sikker ledelse datamaskiner (full kontroll over en ekstern PC), organisere sikker tilgang for ansatte på forretningsreise til bedriftens nettverksressurser, kommunikasjon via et virtuelt nettverk av individuelle kontorer ( lokale nettverk).

Den tradisjonelle tilnærmingen til å distribuere et slikt virtuelt privat nettverk er at en VPN-server (vanligvis basert på Linux OS) er installert og konfigurert i bedriftsnettverket og eksterne brukere får tilgang til bedriftsnettverket via VPN-tilkoblinger.

Denne tilnærmingen er imidlertid ikke aktuelt når brukeren trenger å få ekstern tilgang til sin hjemmedatamaskin. Det er usannsynlig at en situasjon der en egen VPN-server er installert hjemme kan anses som normal. Men fortvil ikke. Oppgaven med å lage et VPN-nettverk er løsbar, og selv en nybegynner kan gjøre det. For dette formålet er det spesialprogram Hamachi, som kan lastes ned gratis fra Internett (http://www.hamachi.cc/download/list.php). Det som er spesielt gledelig er tilstedeværelsen av den russifiserte versjonen, slik at enhver bruker kan mestre programmet.

Hamachi 1.0.2.2

Så Hamachi (gjeldende versjon - 1.0.2.2) er et program som lar deg lage et virtuelt privat nettverk (VPN) over Internett og koble til flere datamaskiner i det. Etter å ha opprettet et slikt nettverk, kan brukere etablere VPN-sesjoner seg imellom og arbeide på dette nettverket på samme måte som på et vanlig lokalt (LAN) nettverk med mulighet til å dele filer, fjernadministrere datamaskiner, etc. Fordelen med et VPN-nettverk er at det er fullstendig beskyttet mot uautorisert inngripen og er usynlig fra Internett, selv om det finnes på det.

Hamachi må være installert på alle datamaskiner som skal kobles til et virtuelt privat nettverk.

Det virtuelle nettverket opprettes ved hjelp av en spesialisert Hamachi-server på Internett. For å koble til denne serveren brukes portene 12975 og 32976. Den første porten (12975) brukes kun for å etablere en tilkobling, og den andre - under drift. Vanlige brukere trenger imidlertid neppe så detaljert informasjon.

Etter at et virtuelt nettverk er opprettet mellom utvalgte datamaskiner som bruker Hamachi-serveren, skjer informasjonsutveksling mellom VPN-klienter direkte, det vil si uten deltakelse fra Hamachi-serveren. UDP-protokollen brukes til å utveksle data mellom VPN-klienter.

Programinstallasjon

Hamachi-programmet er installert på datamaskiner med operativsystemet Windows 2000/XP/2003/Vista. Det finnes også konsollversjoner av programmet for Linux og Mac OS X. Deretter skal vi se på installasjon og konfigurering av programmet ved å bruke operativsystemet som eksempel Windows-systemer XP.

Installasjon Hamachi-programmer det er ganske enkelt og forårsaker ikke problemer (spesielt med tanke på at grensesnittet til installasjonsveiviseren som startes er russisk). Etter at du har begynt å installere programmet på datamaskinen, starter installasjonsveiviseren og ber deg om å godta lisensavtale, velg en mappe for å installere programmet (fig. 1), lag et ikon på skrivebordet osv.

Blant de nyttige valgfrie funksjonene som kan aktiveres under installasjonsprosessen av programmet er den automatiske lanseringen av Hamachi når datamaskinen starter opp og blokkering av sårbare tjenester for Hamachi-forbindelser (fig. 2). I sistnevnte tilfelle vil tjenesten bli blokkert Windows-fil Deling for Hamachi virtuelle nettverksadapter. Som et resultat vil ikke andre brukere av VPN-nettverket ha tilgang til filer og mapper som er delt på datamaskinen din. Samtidig vil disse filene og mappene forbli tilgjengelige for vanlige brukere av det lokale nettverket, for å koble til med hvem en VPN-tilkobling ikke brukes.

Ris. 1. Installasjonsveiviseren for Hamachi lar deg spesifisere mappen
for å plassere programmet, lag et ikon på skrivebordet
og velg det valgfrie alternativet for å starte programmet automatisk
når datamaskinen starter

Foruten blokkering Windows-tjenester Fildeling, blokkering av sårbare tjenester for Hamachi-tilkoblinger resulterer også i blokkering av ekstern tilgang til visse Windows-tjenester som ofte blir angrepet. Følgelig, hvis du bruker Hamachi-programmet for å koble til pålitelige klienter du stoler på, er det bedre å deaktivere muligheten til å blokkere sårbare tjenester.

Ris. 2. Hamachi installasjonsveiviseren lar deg blokkere
sårbare tjenester for Hamachi-forbindelser

På siste etappe Installasjonsveiviseren vil be deg velge hvilken versjon av programmet du vil installere: grunnleggende versjon eller Premium. Hamachi kommer i to versjoner. Grunnversjonen er gratis, og Premium-versjonen, som har mer avanserte funksjoner, er betalt for. Merk at for de fleste brukere er den gratis grunnversjonen av programmet ganske tilstrekkelig (vi vil snakke om de detaljerte forskjellene mellom grunnversjonen og Premium-versjonen litt senere), men standardtilnærmingen er som følger: først blir Premium-versjonen installert i 45 dager (gratis), og etter denne perioden er det automatisk overgang til grunnversjonen.

Etter at du har installert og startet Hamachi-programmet på datamaskinen din, hvis dette er første gang du har installert programmet, vil en kort guide til Hamachi starte, som beskriver hvordan du arbeider med programmet.

Første lansering av programmet

Når du starter programmet for første gang, vil din Regnskap. På dette stadiet må du angi datamaskinnavnet som det skal være synlig for andre brukere av VPN-nettverket under (fig. 3).

Ris. 3. Angi navnet på datamaskinen som
det vil være synlig for andre brukere av VPN-nettverket

Når datamaskinnavnet er spesifisert, oppretter programmet en forbindelse til Hamachi-databaseserveren og ber om en IP-adresse som vil bli tildelt det virtuelle nettverket Hamachi adapter og vil bli brukt i fremtiden for å etablere en VPN-tilkobling. Hver Hamachi-klient tildeles en IP-adresse i 5.0.0.0/8-området (subnettmaske 255.0.0.0), som vanligvis ikke er reservert for Internett-bruk. Slike reservert for privat bruk i lokale nettverk inkluderer følgende områder: 10.0.0.0/8 (område fra 10.0.0.0.0.0.0.0 til 10.255.255.254), 172.16.0.0/12 (område fra 172.16.0.0.0. 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.255.254) og 192.165.254) og 192.168.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0. 0.0.0.0.0.0.0.0.0.0.0.0 /16 (spenner fra 192.168.0.0 til 192.168.255.254). Imidlertid har 5.0.0.0/8-serien vært reservert i mer enn 10 år av IANA (Internet Assigned Numbers Authority - en amerikansk organisasjon som administrerer IP-adresserom) og brukes ikke som offentlige (eksterne) Internett-adresser. Dermed refererer området 5.0.0.0/8 på den ene siden til utvalget av eksterne (offentlige) Internett-adresser, det vil si at muligheten er utelukket for at IP-adressen som er tildelt deg allerede brukes i ditt lokale nettverk (i lokale nettverk bare de som er reservert for privat bruk av en IP-adresse), og på den annen side er disse adressene ennå ikke okkupert av noen.

Etter å ha tildelt deg en IP-adresse fra området 5.0.0.0/8, blir den en slags identifikator for datamaskinen din i et virtuelt privat nettverk. Denne IP-adressen er tilordnet Hamachi virtuelle nettverksadapter. Så hvis du skriver inn kommandolinje ipconfig/all-kommandoen, så i tillegg til netil den virkelige nettverksadapteren (som er fysisk til stede på PC-en din), kan du oppdage at en annen Hamachi virtuell Ethernet-adapter har dukket opp med en MAC-adresse, IP-adresse, subnettmaske, og IP-adresse tilordnet gatewayen osv. (Fig. 4).

Ris. 4. Etter den første lanseringen av programmet, det virtuelle nettverkskortet
Hamachi tildeles en IP-adresse fra området 5.0.0.0/8 og konfigureres
nettverksgrensesnitt

Så, etter at Hamachi-programmet har konfigurert det virtuelle nettverksadapter, kan du begynne å jobbe med programmet.

På dette tidspunktet er datamaskinen din ennå ikke medlem av noe virtuelt privat nettverk, så det første trinnet er å koble til et eksisterende virtuelt privat nettverk eller opprette et nytt VPN-nettverk.

Arbeider med programmet

Programgrensesnittet er veldig enkelt (fig. 5). Det er bare tre funksjonsknapper: På/Av, nettverksmenyknapp og systemmenyknapp.

Ris. 5. Programgrensesnitt
Hamachi er veldig enkelt -
kun tre funksjonsknapper

For å opprette et nytt VPN-nettverk eller koble en datamaskin til en eksisterende, klikk på nettverksmenyknappen og velg det aktuelle elementet (fig. 6).

Ris. 6. Nettverksmenyknappen lar deg
opprette et nytt VPN-nettverk eller bli med
datamaskin til en eksisterende

Koble til en PC til og forlate et eksisterende virtuelt nettverk

Hvis du trenger å koble datamaskinen til et eksisterende virtuelt nettverk og du kjenner navnet og passordet (hvis et brukes), velger du i nettverksmenyen Tast inn eksisterende nettverk… Deretter åpnes et vindu der du må angi nettverksnavn og passord (fig. 7).

Ris. 7. Legge til en datamaskin
til et eksisterende virtuelt nettverk

Etter dette vil navnet på nettverket og en liste over datamaskiner som er koblet til det (unntatt din) vises i programvinduet - Fig. 8.

Ris. 8. Etter å ha koblet til datamaskinen
til det virtuelle nettverket i programvinduet
en liste over tilkoblede vises
datamaskiner til henne

Hvis det er en grønn prikk eller stjerne ved siden av datamaskinnavnet, betyr dette at en forbindelse med datamaskinen er opprettet. En blinkende grønn prikk indikerer at forbindelsen er i ferd med å etableres. En lys sirkel rundt den grønne prikken indikerer at informasjon utveksles med denne datamaskinen.

Det verste er når det er en gul prikk ved siden av navnet på datamaskinen - dette betyr det direkte kontakt Av en eller annen grunn var det ikke mulig å etablere seg med ham. Hvis navnet på datamaskinen vises i gult, betyr dette at forbindelsen med den er brutt.

Utseendet til en blå prikk indikerer at en direkte forbindelse til datamaskinen ikke kunne opprettes og kommunikasjon utføres gjennom Hamachi-serveren. Problemet er at i dette tilfellet har kommunikasjonskanalen med datamaskinen svært lav båndbredde og lange forsinkelser.

Hvis navnet på datamaskinen og prikken ved siden av navnet vises i grått, betyr dette at datamaskinen, selv om den er koblet til dette virtuelle nettverket, er utilgjengelig (for eksempel er PC-en slått av, det er ingen Internett-tilkobling, eller Hamachi-programmet kjører ikke).

For å forlate nettverket, høyreklikk bare på navnet og velg elementet fra rullegardinlisten Koble fra eller Forlat nettverket. I det første tilfellet forlater du bare nettverket midlertidig, og listen over datamaskiner som er koblet til det forblir synlig for deg. I det andre tilfellet, for å komme inn i nettverket, må du gjenta hele prosedyren for å koble datamaskinen til det eksisterende nettverket.

Opprette et nytt nettverk og slette det opprettede nettverket

Hvis du trenger å opprette et nytt virtuelt nettverk, velger du i nettverksmenyen Opprett et nytt nettverk... Et vindu åpnes der du må spesifisere navnet på nettverket som opprettes og passordet som andre brukere skal bruke for å bli med i dette nettverket (fig. 9).

Ris. 9. Opprett et nytt VPN-nettverk

Etter å ha opprettet et nytt nettverk, kan du koble brukerdatamaskiner til det. Hvis nettverket er opprettet av deg, er du dets administrator og får full kontroll over det, som andre brukere blir fratatt. Det er viktig å huske at det opprettede nettverket kun kan administreres fra datamaskinen det ble opprettet på. Mer presist kan nettverket bare administreres fra en datamaskin som er tildelt nøyaktig samme virtuelle IP-adresse som den som ble brukt til å opprette det virtuelle nettverket. Hvorfor er denne kommentaren så viktig? Tenk deg dette: du installerte Hamachi og opprettet et nytt VPN-nettverk. Deretter avinstallerte du Hamachi-programmet fullstendig (inkludert alle konfigurasjonsfiler) og installerte det på nytt etter en stund. Du vil bli tildelt en ny virtuell IP-adresse, men ved å bruke den vil du ikke lenger kunne kontrollere VPN-nettverket du opprettet tidligere.

Hvis du er nettverksadministrator, kan du slette den. For å gjøre dette, høyreklikk på nettverksnavnet og velg elementet fra rullegardinlisten Slett. Merk at når et nettverk slettes, blir alle forbindelser mellom de andre brukerne fullstendig ødelagt.

Andre handlinger med nettverksdatamaskiner

Hvis du har blitt med i et nettverk, kan du utføre følgende handlinger på datamaskinene som er koblet til det:

• tilgjengelighetssjekk;
• mappesurfing;
• sende en melding;
• kopiere adressen;
• blokkering;
• sette etiketten.

For å utføre en av dem, høyreklikk på datamaskinnavnet og velg det aktuelle elementet fra rullegardinmenyen (fig. 10).

Ris. 10. Liste over mulige handlinger
med den valgte datamaskinen på nettverket

Når du velger et element Sjekk tilgjengelighet det vanlige vil bli utført ping kommando til adressen til den tilsvarende datamaskinen.

Avsnitt Bla gjennom mapper lar deg få tilgang til delte mapper på datamaskinen.

Avsnitt Send en melding gjør det mulig å utveksle meldinger mellom separate datamaskiner nettverk som ligner på hvordan det gjøres i ICQ.

Avsnitt Kopier adresse setter inn IP-adressen til den valgte datamaskinen i utklippstavlen, noe som er praktisk hvis du vil bruke denne adressen i andre programmer (for eksempel fjernadministrasjon).

Avsnitt Blokkere lar deg blokkere den valgte datamaskinen midlertidig, det vil si at VPN-kanalen din med den vil bli blokkert og informasjonsutveksling vil være umulig.

Avsnitt Sett etikett lar deg velge formatet for visning av datamaskinattributter på nettverket. Som standard vises datamaskinens IP-adresse og navnet. Du kan velge å vise bare datamaskinnavnet eller kun IP-adressen.

Sette opp programmet

For å få tilgang til programinnstillingene, må du klikke på systemmenyknappen og velge elementet Innstillinger...(Fig. 11).

Ris. 11. Få tilgang til innstillinger
programmer

Etter dette åpnes et vindu Status og konfigurasjon, tillater å produsere detaljert oppsett programmer (fig. 12).

Ris. 12. Detaljert programkonfigurasjonsvindu

Egentlig er alt her ganske enkelt, og det er usannsynlig at det er behov for detaljerte kommentarer, så vi vil ganske enkelt liste opp funksjonene som kan implementeres i konfigurasjonsvinduet. Så i dette vinduet kan du endre datamaskinnavnet, gjøre detaljerte tilkoblingsinnstillinger, angi programoppstartstypen, blokkere eller fjerne blokkering av sårbare Windows-tjenester, blokkere nye nettverksmedlemmer og implementere andre, mindre viktige alternativer. Blant de viktige funksjonene merker vi deaktivering av kryptering ved overføring av data mellom individuelle datamaskiner på nettverket. For å gjøre dette, må du klikke på ikonet Vindu og i gruppen Utseende merk av i boksen Vis "Avansert..." per menyelement(Fig. 13).

Ris. 13. Legge til et avansert element...
til rullegardinmenyen

Etter dette, hvis du høyreklikker på navnet på en datamaskin som er koblet til nettverket, vil et element vises i rullegardinmenyen Avansert… Hvis du velger det, åpnes et vindu Tunnelkonfigurasjon, som lar deg endre VPN-tunnelinnstillingene. For å deaktivere kryptering på Kryptering du må velge en verdi Av. I dette tilfellet vil data fra datamaskinen din bli overført til den valgte PC-en i ukryptert form. Men i motsatt retning vil dataene bli overført kryptert. For å fullstendig deaktivere kryptering for en VPN-tunnel mellom to datamaskiner, må den være deaktivert på begge datamaskiner.

Merk at kryptering bare bør deaktiveres i unntakstilfeller, siden krypteringsprosedyren i seg selv er usannsynlig å påvirke trafikken. Faktum er at trafikken vil bli bestemt av båndbredden til Internett-kanalen din, og ikke av bruken eller mangelen på kryptering. Bare hvis det dannes en VPN-tunnel mellom datamaskiner innenfor samme lokale nettverk og dens gjennomstrømning er ca. 100 Mbit/s, kan bruk av kryptering redusere maksimal overføringshastighet litt (til 70-80 Mbit/s).

Konklusjon

Hamachi er et kraftig verktøy som lar deg lage VPN-nettverk veldig raskt. Merk at den opprinnelig ble opprettet for å tillate brukere å spille online spill ved å omgå spillservere. Imidlertid er de mulige scenariene for å bruke dette programmet mye bredere. Så etter å ha opprettet et virtuelt nettverk og koblet datamaskiner til det, kan du bruke standard programmer fjernadministrasjon, få ekstern tilgang til hvilken som helst datamaskin i et virtuelt nettverk, siden hver datamaskin i et slikt nettverk har sin egen dedikerte IP-adresse.

Samtidig skal det bemerkes at det ikke alltid er mulig å etablere en direkte forbindelse mellom individuelle datamaskiner. Og til tross for at produsentens nettsted hevder at programmet lett "bryter gjennom" rutere og NAT-enheter, er i virkeligheten ikke alt så optimistisk. Dokumentasjonen for programmet sier at det i 5 % av tilfellene ikke kan etableres en direkte forbindelse mellom individuelle datamaskiner, men det ser ut til at dette tallet er klart undervurdert. Den virkelige situasjonen er denne: Hvis vi snakker om å koble til to datamaskiner som er tildelt en dynamisk eller statisk offentlig IP-adresse, er det ingen problemer. Det vil si at hvis du bare har én datamaskin med Internett-tilgang hjemme, og du må koble til en bruker som også har én datamaskin med Internett-tilgang, vil det ikke være noen problemer. Som praksis viser, er det ingen problemer med å etablere en forbindelse mellom en brukers datamaskin med en dynamisk eller statisk offentlig IP-adresse tildelt den og en datamaskin på et lokalt nettverk beskyttet av en ruter. Men hvis det opprettes en forbindelse mellom to datamaskiner som tilhører forskjellige lokale nettverk beskyttet av rutere, er problemer mulig, og det er ikke et faktum at en direkte forbindelse vil bli etablert. Det vil si at en forbindelse kan opprettes, men mest sannsynlig vil den ikke være direkte, men gjennom Hamachi-serveren. Følgelig vil hastigheten til en slik kommunikasjonskanal være svært lav og det vil være liten bruk av en slik forbindelse. For eksempel, i hjemmet ditt, oppnås Internett-tilgang ved hjelp av en trådløs ruter, det vil si at datamaskinen din er en del av hjemmenettverket og tildeles en IP-adresse fra utvalget av adresser som er reservert for privat bruk, og en offentlig adresse er tildelt til WAN-porten på ruteren som du går online gjennom. Hvis du prøver å opprette en forbindelse med en annen datamaskin som også er en del av det lokale nettverket (for eksempel med en arbeidsdatamaskin på kontoret eller med en brukers datamaskin som har et lokalt nettverk utplassert hjemme og bruker en ruter), i de fleste tilfeller oppstår problemer.

Hamachi-brukerveiledningen beskriver hvordan du kan unngå disse problemene. For å gjøre dette, foreslås det å bruke en fast (i stedet for dynamisk) UDP-port og implementere portvideresending på ruteren. Men som praksis viser, hjelper portvideresending eller bruk av en demilitarisert sone i ruteren ikke alltid.

VPN (Virtual Private Network) er en utbredt teknologi som lar deg organisere virtuelle nettverk over eksisterende ekte nettverk. Denne artikkelen vil fokusere på terminologi og generelle prinsipper; opprettelse av slike nettverk vil bli vurdert separat.

Til tross for ordet "Privat" i teknologiens navn, er det mulig å organisere offentlige - ukrypterte nettverk. Generelt kan en VPN organiseres på et stort antall måter ved å bruke forskjellige teknologier ( SSL VPN, IPSec, GRE og så videre.).

Enhver konstruksjon av en VPN betyr opprettelse av tunneler; en tunnel betyr en kanal mellom to enheter som data overføres gjennom. Viktig tilstand– data er isolert fra spesifikasjonene til kanalkonstruksjon. Enheten som overfører nyttige data gjør dette som om det ikke fantes en tunnel, og å sette opp selve tunnelen er en egen oppgave. Det er to typer VPN-tunneler:

1. Fjerntilgang VPN– betyr at en tunnel er organisert mellom en applikasjon på klientens datamaskin og en enhet som fungerer som en server og organiserer tilkoblinger fra ulike klienter (for eksempel en VPN-konsentrator, ruter, Cisco ASA, etc.)
2. Nettsted-til-sted VPN– innebærer tilstedeværelsen av to enheter (for eksempel rutere), mellom hvilke det er en permanent tunnel; i dette tilfellet er brukere bak enhetene, på lokale nettverk og ingen spesiell programvare er nødvendig for å være installert på datamaskinene deres.

Den første typen brukes til å koble for eksempel eksterne arbeidere til en bedrifts bedriftsnettverk via en sikker kanal. I dette tilfellet kan den ansatte være lokalisert hvor som helst der det er Internett, og programvaren på datamaskinen hans vil bygge en tunnel til selskapets ruter, gjennom hvilken nyttige data vil bli overført. Den andre typen brukes når det kreves en fast forbindelse mellom to eksterne filialer, eller en filial og et sentralkontor. I dette tilfellet jobber ansatte uten spesiell programvare på det lokale kontornettverket, og på grensen til dette nettverket er det en ruter som, ubemerket av brukeren, lager en tunnel med ekstern ruter og overfører nyttig trafikk til den.

En tunnel bruker vanligvis tre lag med protokoller:

1. Transportprotokoll (for eksempel IP). Dette er protokollen som eksisterende ekte nettverk, det vil si at den i utgangspunktet ikke er assosiert med VPN, men brukes til å transportere innkapslede pakker som inneholder kryptert eller tydelig informasjon relatert til det interne nettverket til tunnelen.
2. Innkapslingsprotokoll (for eksempel GRE) - brukes som et lag mellom transportprotokollen og den interne transportprotokollen.
3. En innkapslet (transportert) protokoll (for eksempel IP, IPX, IPSec) er de faktiske pakkene til intra-tunnelnettverket; brukeren koblet til VPN sender pakker som ved inngangen til tunnelen blir innkapslet, for eksempel, i GRE, som igjen var innkapslet i en transportprotokoll.

Dermed er den generelle innkapslingsrekkefølgen, ved bruk av et sted-til-sted VPN, som følger: brukeren sender en vanlig pakke, pakken når enheten som tunnelen er hevet på, enheten pakker denne inn nyttig pakke i "data"-feltet til innkapslingsprotokollen, som igjen er pakket inn i "data"-feltet til transportprotokollen. Etter det forlater en tilsynelatende vanlig, for eksempel, IP-pakke enheten, hvor nyttelastfeltet faktisk inneholder en GRE-pakke, som igjen inneholder en annen intern IP-pakke. Dette tillater uavhengig adressering inne i tunnelen og utenfor tunnelen. Når målenheten mottar en slik pakke, utvider den den, og dekapsler GRE og deretter den indre IP-pakken fra den. Deretter sendes den interne pakken til mottakeren. I denne situasjonen, som du kanskje gjetter, vet ikke avsender og mottaker noe om tilstedeværelsen av en tunnel, og opptrer som om den ikke eksisterer. Samtidig, i transportprotokollén adressering brukes (for eksempel offentlige IP-adresser), og den transporterte protokollen kan bruke private adresser, noe som ikke hindrer den fra å bli transportert over Internett (siden ruting utføres for en ekstern, transportpakke).

VPN (Virtual Private Network) er et virtuelt privat nettverk eller logisk nettverk som er opprettet på toppen av ubeskyttede nettverk (nettverk til en teleoperatør eller Internett-leverandør). VPN er en teknologi som beskytter data mens den overføres ubeskyttede nettverk. Et virtuelt privat nettverk lar deg lage en tunnel i usikrede nettverk (mellom to nettverkspunkter), for eksempel ATM-, FR- eller IP-nettverk.

Ved å bruke en VPN kan du opprette tilkoblinger: nettverk til nettverk, nettsted til nettverk eller nettsted til nettsted. Slike egenskaper ved VPN-teknologi gir mulighet til å forene geografisk fjern venn fra hverandre lokale nettverk av bedriftskontorer til et enkelt bedriftsinformasjonsnettverk. Det bør bemerkes at bedriftens datanettverk (CNET) også kan organiseres på grunnlag av dedikerte (private eller leide) kommunikasjonskanaler. Slike organisasjonsverktøy brukes for små bedrifter (bedrifter med kompakt lokaliserte kontorer) med trafikk som ikke endrer seg over tid.

Hovedtypene av VPN og deres kombinasjoner er kjent:

• Intranett VPN (intra-selskap VPN);
• Ekstranett VPN (inter-corporate VPN);
• Remote Access VPN (VPN med ekstern tilgang);
• Client/Server VPN (VPN mellom to bedriftsnettverksnoder).

For øyeblikket brukes følgende teknologier til å bygge bedriftens, geografisk distribuerte nettverk i den delte infrastrukturen til tjenesteleverandører og telekomoperatører:

• IP-tunneler som bruker GRE- eller IPSec VPN-teknologier;
• SSL, som inkluderer OpenVPN og SSL VPN (SSL/TLS VPN) for organisering av sikre kommunikasjonskanaler;
• MPLS i operatørens nettverk (L3 VPN) eller VPN i BGP/MPLS-nettverket;
• Metro Ethernet VPN i operatørens nettverk (L2 VPN). Den mest lovende teknologien som brukes i Metro Ethernet VPN er MPLS-basert VPN (MPLS L2 VPN) eller VPLS.

Når det gjelder bruken av leide linjer og Frame Relay, ATM-teknologier for å organisere geografisk distribuerte bedriftsnettverk, brukes de praktisk talt ikke lenger til disse formålene. I dag er CIC-er som regel bygget på grunnlag av overleggsnettverk (klient-server og peer-to-peer-nettverk), som opererer i den delte infrastrukturen til operatører, og er "superstrukturer" på klassiske nettverksprotokoller.

For å organisere geografisk distribuerte bedriftsnettverk gir leverandørene kundene følgende grunnleggende VPN-modeller på Internett:

• IP VPN-modell (GRE, IPSec VPN, OpenVPN) over et WAN-nettverk der VPN-oppsett levert av kunden;
• modell L 3 VPN eller MPLS L3 VPN over et WAN-nettverk, der VPN-konfigurasjonen er levert av tjenesteleverandøren eller teleoperatøren;
• L2 VPN-modell via MAN-nettverk, der VPN-konfigurasjonen er levert av leverandøren eller teleoperatøren:
  • punkt-til-punkt (AToM, 802.1Q, L2TPv3);
  • flerpunkt (VPLS og H-VPLS).

VPN-teknologier kan klassifiseres i henhold til metodene for implementering ved hjelp av protokoller: autentisering, tunnelering og kryptering av IP-pakker. For eksempel er VPN-er (IPSec, OpenVPN, PPTP) basert på kryptering av kundedata, VPN-er (L2TP og MPLS) er basert på å skille datastrømmer mellom VPN-kunder, og SSL VPN er basert på kryptografi og trafikkautentisering. Men som regel bruker VPN-er blandede alternativer når teknologier brukes sammen: autentisering, tunnelering og kryptering. I utgangspunktet utføres organiseringen av VPN-nettverk på grunnlag av protokollene til datalinken og nettverkslagene til OSI-modellen.

Det skal bemerkes at for mobile eksterne brukere ble SSL VPN-teknologi (Secure Socket Layer) utviklet, som er basert på et annet prinsipp for overføring av private data (brukerdata) over Internett. For å organisere SSL VPN, brukes HTTPS-applikasjonslagsprotokollen. For HTTPS brukes port 443, gjennom hvilken en forbindelse opprettes ved bruk av TLS (Transport Layer Security).

TLS og SSL (TLS- og SSL-protokoller for lag 6 av OSI-modellen) er kryptografiske protokoller som gir pålitelig beskyttelse data på applikasjonsnivå, siden de bruker asymmetrisk kryptografi, symmetrisk kryptering og meldingsautentiseringskoder. Men siden det er definert 4 lag i TCP/IP-stakken, dvs. Siden det ikke er noen økt- og presentasjonslag, fungerer disse protokollene over transportlaget i TCP/IP-stakken, og sikrer sikkerheten for dataoverføring mellom Internett-noder.

IP VPN-modell, der VPN-konfigurasjon leveres av kunden

IP VPN-modellen kan implementeres basert på IPSec-standarden eller andre VPN-protokoller (PPTP, L2TP, OpenVPN). I denne modellen etableres interaksjon mellom kundens rutere gjennom tjenesteleverandørens WAN-nettverk. I dette tilfellet er ikke leverandøren involvert i å sette opp VPN, men tilbyr kun sine ubeskyttede nettverk for overføring av kundens trafikk. Leverandørnettverk er kun beregnet for innkapslede eller overliggende (gjennomsiktige) VPN-forbindelser mellom kundekontorer.

VPN-konfigurasjon utføres av kundens telekommunikasjonsmidler, dvs. kunden styrer trafikkdirigeringen selv. En VPN-tilkobling er en tilkobling over et usikret punkt-til-punkt-nettverk: "VPN-gateway - VPN-gateway" for å koble til eksterne lokale kontornettverk, " VPN-bruker- VPN-gateway" for å koble eksterne ansatte til sentralkontoret.

For å organisere et VPN-nettverk er det installert en ruter på hvert bedriftskontor, som sikrer samhandling mellom kontornettverket og VPN-nettverket. Programvare for å bygge sikre VPN-er er installert på rutere, for eksempel den gratis populære OpenVPN-pakken (i dette tilfellet må OpenVPN-pakken konfigureres til å fungere i rutemodus). OpenVPN-teknologi er basert på SSL-standarden for sikker kommunikasjon over Internett.

OpenVPN gir sikre tilkoblinger basert på OSI Layer 2 og Layer 3. Hvis OpenVPN er konfigurert til å fungere i bromodus, gir det sikre tilkoblinger basert på 2 OSI nivå, hvis i rutemodus - basert på 3. nivå. OpenVPN, i motsetning til SSL VPN, støtter ikke tilgang til VPN-nettverket gjennom en nettleser. OpenVPN krever en ekstra applikasjon (VPN-klient).

Selskapets hovedkontorruter er konfigurert som en VPN-server, og eksterne kontorrutere er konfigurert som VPN-klienter. VPN-server og VPN-klientrutere kobles til Internett gjennom leverandørens nettverk. I tillegg kan du koble en ekstern brukers PC til hovedkontoret ved å sette opp et VPN-klientprogram på PC-en. Som et resultat får vi en IP VPN-modell (skjermbildet er vist i fig. 1).

Ris. 1. IP VPN-nettverksmodell (Intranett VPN + Remote Access VPN)

MPLS L3 VPN- eller L3 VPN-modell, der VPN-konfigurasjonen leveres av tjenesteleverandøren eller teleoperatøren (tjenesteleverandøren)

La oss vurdere prosessen med å organisere et VPN-nettverk for tre eksterne lokale nettverk av tjenestekundekontorer (for eksempel SC-3 Corporation), lokalisert i forskjellige byer, ved å bruke tjenesteleverandørens MPLS VPN-ryggradsnettverk, bygget på grunnlag av MPLS L3 VPN teknologi. I tillegg er en ekstern arbeidsstasjon-PC og en mobil brukers bærbare datamaskin koblet til SC-3-selskapets nettverk. I MPLS L3-modell VPN utstyr Leverandøren er involvert i å rute klienttrafikk gjennom WAN.

I dette tilfellet utføres leveringen av klienttrafikk fra de lokale nettverkene til tjenestekundens kontorer til MPLS VPN-nettverket til tjenesteleverandøren ved hjelp av IP-teknologi. For å organisere et VPN-nettverk, installeres en perifer eller edge CE-ruter (Customer Edge-ruter) på hvert kontor i selskapet, som er koblet med en fysisk kanal til en av PE-kantruterne (Provider Edge-ruterne) i MPLS-nettverket til leverandøren (operatøren). Samtidig, på fysisk kanal koble CE- og PE-rutere kan betjene en av linklagsprotokollene (PPP, Ethernet, FDDI, FR, ATM, etc.).

Nettverket til en tjenesteleverandør (tjenesteleverandør eller teleoperatør) består av perifere PE-rutere og et kjernenettverk (nettverkskjerne) med etikettswitchende ryggradsrutere P (Provider-ruter). Dermed består MPLS L3 VPN av kontor lokale IP-nettverk kundens og leverandørens MPLS-ryggradsnettverk (MPLS-domene), som forener distribuerte lokale nettverk av kundens kontorer til ett enkelt nettverk.

Eksterne lokale nettverk til kundens kontorer utveksler IP-pakker gjennom MPLS-leverandørens nettverk, der MPLS-tunneler dannes for å overføre klienttrafikk over leverandørens kjernenettverk. Et skjermbilde av MPLS L3 VPN-nettverksmodellen (Intranett VPN + Remote Access VPN) er vist i fig. 2. For å forenkle nettverksdiagrammet godtas følgende startbetingelser: alle kontor-LAN tilhører ett VPN, og ryggradsnettverket (ryggradsnettverket) er et MPLS-domene, under enhetlig kontroll av en nasjonal tjenesteleverandør (kommunikasjonsoperatør) .

Det skal bemerkes at MPLS L3 VPN kan organiseres ved hjelp av flere MPLS-domener fra forskjellige tjenesteleverandører. Figur 2 viser en full mesh VPN-topologi.

Ris. 2. MPLS L3 VPN-nettverksmodell (Intranett VPN + Remote Access VPN)

Perifere rutere CE og PE (kunde og leverandør) utveksler rutinginformasjon med hverandre ved hjelp av en av de interne IGP-rutingsprotokollene (RIP, OSPF eller IS-IS). Som et resultat av utveksling av rutinginformasjon, oppretter hver PE-ruter sin egen separate (eksterne) VRF (VPN Routing and Forwarding) rutingtabell for det lokale nettverket til kundens kontor koblet til den gjennom CE-ruteren. Dermed blir ruteinformasjonen mottatt fra CE registrert i VRF-tabellen til PE.

VRF-tabellen kalles virtuell ruting- og videresendingstabell. Bare PE-rutere vet at MPLS-nettverket har en VPN for kunden. Fra MPLS L3 VPN-nettverksmodellen følger det at rutinginformasjon ikke utveksles mellom kundens CE-rutere, derfor deltar ikke kunden i ruting av trafikk gjennom MPLS-ryggraden; VPN-konfigurasjon (PE-rutere og P-rutere) utføres av leverandøren (operatøren).

Flere VPN-nettverk fra forskjellige kunder kan kobles til PE-ruteren (fig. 3). I dette tilfellet installeres en egen rutingprotokoll for hvert grensesnitt (int1, int2, etc.) til PE-ruteren som kundens lokale nettverk er koblet til. For hvert PE-rutergrensesnitt oppretter en av IGP-ene en VRF-rutingstabell, og hver VRF-rutingstabell tilsvarer VPN-ruter for hver kunde.

For eksempel for en kunde SC-3 og hans LAN-nettverk 0 (hovedkontor), koblet via CE0 til PE0, tabell VRF1 SC-3 vil bli opprettet på PE0, for LAN1-kunde vil SC-3 på PE1 VRF2 SC-3 opprettes, for LAN2 på PE2 - VRF3 SC-3, etc. ..., men de tilhører den samme VPN SC3. Tabell VRF1 SC-3 er felles for ruteinformasjon for CE0 og CE4. Det skal bemerkes at VRF-tabellene fylles på med informasjon om de lokale nettverksadressene til alle andre kontorer til en gitt kunde ved bruk av MP-BGP-protokollen (multiprotocol BGP). MP-BGP-protokollen brukes til å utveksle ruter direkte mellom PE-rutere og kan bære VPN-IPv4-adresser i rutinginformasjon.

VPN-IPv4-adresser består av kilde-IPv4-adresser og et RD-prefiks (Route Distinguisher) eller ruteskiller som identifiserer den spesifikke VPN-en. Som et resultat vil VRF-tabeller bli opprettet på PE-rutere med identiske ruter for én VPN-nettverk. Bare de PE-ruterne som deltar i organiseringen av det samme kunde-VPN-nettverket, utveksler rutinginformasjon med hverandre ved å bruke MP-BGP-protokollen. RD-prefikset er konfigurert for hver VRF-tabell.

Rutinginformasjon utvekslet mellom PE-rutere via MP-BGP-protokollen via et globalt eller internt grensesnitt:

• Destinasjonsnettverksadresse (VPN-IPv4);
• Adresse til neste ruter for protokollen (neste hopp);
• Lvpn-etikett – bestemt av grensesnittnummeret (int) til PE-ruteren som en av kundens kontor-LAN er koblet til;
• RT-meldingsattributtet (rutemål) er et VPN-attributt som identifiserer alle kontor-LAN som tilhører samme kundebedriftsnettverk eller ett VPN.

Ris. 3. PE ruter

I tillegg utveksler hver PE-ruter rutinginformasjon med P-ruterne i ryggraden ved å bruke en av de interne rutingsprotokollene (OSPF eller IS-IS) og oppretter også en separat (intern) global rutingtabell (GRT) for MPLS-nettverket. Den eksterne (VRF)-tabellen og den interne (GTM) globale rutingtabellen i PE-rutere er isolert fra hverandre. P-rutere utveksler rutinginformasjon mellom seg selv og PE-rutere ved å bruke tradisjonelle IP-interne rutingprotokoller (IGP), som OSPF eller IS-IS, og lager deres rutingtabeller.

Basert på rutingtabeller som bruker LDP-etikettdistribusjonsprotokoller eller RSVP-protokoller basert på Traffic Engineering-teknologi, bygges etikettbyttetabeller på alle P-rutere (FTN-er opprettes på PE-er) og danner en spesifikk LSP-rute (Label Switched Paths). Resultatet er etikettsvitsjede LSP-ruter, der IP-pakker videresendes basert på verdiene til MPLS-headeretiketter og lokale svitsjetabeller, i stedet for IP-adresser og rutingtabeller.

En MPLS-header legges til hver IP-pakke som kommer inn i ingress PE-ruteren og fjernes av egress PE-ruteren når pakkene forlater MPLS-nettverket. MPLS-headeren bruker ikke en etikett, men en stabel med to etiketter, dvs. Ingress PE tildeler to etiketter til pakken. En av dem er ekstern L, den andre er intern Lvpn. Eksternt merke eller etikett toppnivå stack brukes direkte til å bytte pakken over LSP fra inngående til utgående PE.

Det bør bemerkes at PE ruter inngående trafikk til en spesifikk LSP basert på FEC (Forwarding Equivalence Class). FEC er en gruppe pakker for forhold, hvis transport har de samme kravene. Pakker som tilhører samme FEC reiser på samme LSP. FEC-klassifisering kan utføres forskjellige måter, for eksempel: etter IP-adressen til destinasjonsnettverket (nettverksprefiks), type trafikk, tekniske krav osv.

Hvis du bruker klassifisering etter IP-adressen til destinasjonsnettverket, så for hvert prefiks til destinasjonsnettverket a egen klasse. I dette tilfellet automatiserer LDP-protokollen fullstendig prosessen med å lage klasser og tilordne etikettverdier til dem (tabell 1). Hver innkommende pakke som rutes av PE-ruteren til en spesifikk IP-adresse på kontornettverket blir tildelt en spesifikk etikett basert på FTN-tabellen.

Tabell 1. FTN (FEC To Next hop) på ruter PE1

Fra tabell 1 følger det at verdien til den eksterne etiketten tildeles av inngangsruteren PE1 basert på IP-adressen til det lokale kontornettverket. Den interne etiketten eller etiketten til det nedre nivået av stabelen deltar ikke i prosessen med å bytte pakken over LSP fra inngangen til utgangs-PE, men den definerer VRF eller grensesnitt på utgangs-PE som kundens kontor-LAN til er sammenkoblet.

Utveksling av VPN-ruteinformasjon via MP-BGP-protokoll

Rutinginformasjon (VPN-ruteinformasjon) som ruter PE1 sender til ruter PE2 via BGP (røde linjer):

• VPN-IPv4-adresse: 46.115.25.1:106:192.168.1.0;
• Neste hopp = 46.115.25.1;
• Lvpn=3;
• RT= SC-3.

Ruteskilleren RD=46.115.25.1:106 legges til IPv4-adressen til Regional Office 1s LAN1. Der 46.115.25.1 er IP-adressen til PE1s globale grensesnitt som PE1 kommuniserer med P-ruterne gjennom. For denne VPN SC-3-ruten tildeler leverandørens nettverksadministrator i ruteren PE1 eller PE1 en etikett (nummer), for eksempel 106.

Når PE2 mottar VPN-IPv4-destinasjonsnettverksadressen fra PE1, forkaster den RD-ruteavgrenseren, plasserer adressen 192.168.1.0 i SC-3 VRF3-tabellen og merker at oppføringen ble gjort av BGP. I tillegg annonserer den denne ruten til kunderuteren CE2 koblet til den for denne VPN SC-3.

VRF3 SC-3-tabellen er også oppdatert med MP-BGP-protokollen - om nettverksadressene til andre LAN-kontorer til denne VPN SC-3. Ruter PE1 sender også rutinginformasjon til andre rutere via MP-BGP-protokollen: PE0 og PE3. Som et resultat inneholder alle rutene i VRF-tabellene til rutere (PE0, PE1, PE2 og PE3) adressene til alle LAN-nettverk kontorer til denne kunden i IPv4-format.

Ris. 4. VRF-tabeller for rutere (PE0, PE1, PE2 og PE3)

Rutinginformasjon som ruter PE2 sender til ruter PE1 via MP-BGP-protokollen (røde linjer):

• VPN-IPv4-adresse: 46.115.25.2:116:192.168.2.0;
• Neste hopp = 46.115.25.2;
• Lvpn=5;
• RT=SC-3.

La oss vurdere hvordan datautveksling skjer mellom PC 2 (IP: 192.168.1.2) i LAN1-nettverket og PC 1 (IP: 192.168.3.1) i LAN-nettverket. For å få tilgang til filer som ligger i kataloger eller logiske stasjoner PC 1 (LAN) med delt tilgang, må du skrive inn \\192.168.3.1 på PC 2 (LAN1) i linjen "Finn programmer og filer" (for Win 7 OS) og trykke Enter. Som et resultat vil skjermen på PC 2 vise de delte katalogene ("delte" katalogene eller mappene) som er plassert på PC 1. Hvordan skjer dette?

Når du trykker på Enter-tasten på PC 2 (LAN1), genereres en pakke med destinasjons-IP-adressen 192.168.3.1 på nettverksnivå. Først av alt kommer pakken til ruteren CE1 (fig. 5), som videresender den i henhold til rutetabellen til int3-grensesnittet til ruteren PE1, siden den er den neste ruteren som får tilgang til nettverket 192.168.3.0/24, i hvilke PC-er 1 er plassert (LAN GO) med IP-adresse 192.168.3.1. VRF2 SC-3-rutingstabellen er assosiert med int3-grensesnittet, så videre videresending av pakken er basert på dens parametere.

Som man kan se fra VRF2 SC-3-tabellen, er den neste ruteren som videresender pakken til 192.168.3/24-nettverket PE0, og denne oppføringen ble gjort av BGP-protokollen. I tillegg viser tabellen verdien til etiketten Lvpn=2, som definerer grensesnittet til utgangsruteren PE0. Det følger at den videre bevegelsen av pakken til 192.168.3/24-nettverket bestemmes av parametrene til den globale rutingtabellen GTM PE1.

Ris. 5. Dataoverføring mellom PC2 (192.168.1.2) og PC1 (192.168.3.1) nettverk LAN1 og LAN til hovedkontoret til KS SC-3

I den globale tabellen (GTM PE1) tilsvarer adressen til neste ruter (NH - Next Hop) PE0 startverdien til den eksterne etiketten L=105, som bestemmer LSP-banen til PE0. Pakken videresendes langs LSP basert på L-etiketten på toppnivået av stabelen (L=105). Når pakken går gjennom ruter P3 og deretter gjennom ruter P1, analyseres L-etiketten og erstattes med nye verdier. Etter at pakken når endepunkt LSP, ruter PE0 sletter ytre merke L fra MPLS-stabelen.

Deretter trekker ruter PE0 stabelbunnetiketten Lvpn=2 fra stabelen, som definerer int2-grensesnittet som ruteren CE0 til kundens hovedkontor lokalnettverk (HO LAN) er koblet til. Deretter, fra tabellen (VRF1 SC-3) som inneholder alle VPN SC3-ruter, henter ruter PE0 oppføringen for etikettverdien Lvpn=2 og den tilhørende ruten til nettverket 192.168.3/24, som peker på CE0 som neste ruter. Det følger av tabellen at ruteoppføringen ble plassert i VRF1 SC-3-tabellen av IGP-protokollen, slik at banen til pakken fra PE0 til CE0 utføres via IP-protokollen.

Videre flytting av pakken fra CE0 til PC 1 med IP-adresse 192.168.3.1 utføres ved hjelp av MAC-adressen, siden CE0 og PC 1 (192.168.3.1) er på samme LAN. Etter å ha mottatt forespørselspakken fra PC 2, vil operativsystemet til PC 1 sende kopier av katalogene som deles med PC 2. operativsystem PC 2, etter å ha mottatt kopier av delte kataloger fra PC 1, viser dem på skjermen. Altså gjennom offentlige nettverk MPLS-leverandøren bruker virtuelle LSP-kanaler for å utveksle data mellom to PC-er som tilhører forskjellige LAN-er til kontorer til samme kunde.

Når det gjelder å koble en ekstern mobilbruker til ressursene til et geografisk distribuert bedriftsnettverk, kan det implementeres ved hjelp av en av Remote Access VPN-teknologiene (Remote Access IPSec VPN og SSL VPN). Det bør bemerkes at SSL VPN-teknologi støtter to typer tilgang: full nettverkstilgang og klientløs. Klientløs SSL VPN-teknologi gir ekstern tilgang til nettverket gjennom en standard nettleser, men i dette tilfellet er bare nettverksapplikasjoner med nettgrensesnitt tilgjengelig. SSL VPN-teknologi med full nettverkstilgang, etter installasjon på PC tilleggsapplikasjon(VPN-klient) gir tilgang til alle ressurser i et geografisk distribuert bedriftsnettverk.

Som regel kobler en ekstern bruker seg til en MPLS L3 VPN gjennom en ekstern tilgangsserver (RAS), som kobles til en av MPLS-nettverkets PE-rutere. I vårt tilfelle mobilbruker via aksessnettverket (Internett) kobles ved hjelp av Remote Access IPSec VPN til RAS, som er koblet til PE0-ruteren. Dermed kobler mobilbrukeren seg via IPSec VPN til sitt bedriftsnettverk (SC-3-selskap), organisert på grunnlag av MPLS L3 VPN.

MPLS L2 VPN-modell, der VPN-konfigurasjonen er levert av ISP eller telekomoperatør (tjenesteleverandør)

Det er mulig å organisere en enkelt informasjonsplass på tre kontorer (for eksempel SC-3-selskap) lokalisert i samme by på grunnlag av teleoperatørens bredbånd Metro Ethernet-nettverk (L2 VPN). En av tjenestene til Metro Ethernet-nettverk er organisering av bedriftsnettverk gjennom MAN-nettverk (byomfattende teleoperatørnettverk). For å organisere Metro Ethernet VPN (L2 VPN) brukes ulike teknologier, for eksempel AToM (hovedsakelig EoMPLS), 802.1Q, L2TPv3 og så videre, men den mest lovende teknologien er MPLS L2 VPN eller VPLS. I dette tilfellet utføres leveringen av klienttrafikk fra de lokale nettverkene til tjenestekundens kontorer til MPLS VPN-kjernenettverket til tjenesteleverandøren ved hjelp av andrelagsteknologi (Ethernet, Frame Relay eller ATM).

Telekomoperatører tilbyr to typer Ethernet-nettverkstjenester for organisering av virtuelle private nettverk på andre nivå av OSI-modellen, som er dannet basert på MPLS-teknologi - disse er VPWS (Virtual Private Wire Services) og VPLS (Virtual Private LAN Services). Disse VPN-ene er bygget på grunnlag av pseudo-kanaler (pseudowire), som kobler sammen PE-kantruterne til leverandørens nettverk (MPLS-domene). LSP-tunneler eller logiske kanaler opprettes ved bruk av etiketter, innenfor hvilke pseudokanaler (emulerte VC-er) legges og MPLS-pakker overføres over disse pseudokanalene. VPWS er ​​basert på Ethernet over MPLS (EoMPLS). Men i VPLS, i motsetning til punkt-til-punkt (P2P) VPWS-nettverk, er pseudokanaler organisert ved hjelp av punkt-til-multipunkt-forbindelser (P2M).

I VPLS er det to måter å etablere pseudo-kanaler mellom to PE-er som er en del av en gitt VPLS (ved å bruke BGP-protokollen og LDP-etikettdistribusjonsprotokollen). Den utvidede BGP-protokollen (MP-BGP) gir automatisk deteksjon av PE-er som samhandler når man bygger et geografisk distribuert LAN basert på VPLS-tjenesten, og signalering av virtuelle kretsetiketter (vc-etiketter). Den utvidede LDP-protokollen kan også brukes til vc-etikettsignalering. I dette tilfellet utføres identifisering av alle PE-rutere som er en del av denne VPLS i manuell konfigurasjonsmodus.

Du kan også bruke administrasjonssystemer som automatiserer søk og konfigurasjon av PE-enheter for å organisere VPLS-tjenester. Den bruker en stabel med etiketter for å overføre rammer, den øverste etiketten er for LSP-tunneler, som brukes til å nå utgangs-PE. Den nederste etiketten er VC-etiketten, som brukes til å demultiplekse virtuelle kanaler (pseudowires) som sendes i samme tunnel. Én tunnel kan ha flere pseudokanaler for forskjellige VPLS-instanser.

Separate virtuelle VSI-svitsjer opprettes for hver VPLS-forekomst på PE. VSI-svitsjer lærer MAC-adresser og bygger MPLS-pakkevideresendingstabeller. Basert på videresendingstabelldataene, sender VSI-svitsjer, etter å ha mottatt rammer innkapslet i MPLS-pakker, dem til pseudokanaler som fører til kant-PE-ene, som kantsvitsjene CE til LAN-segmentene til kundens kontorer er koblet til.

Basert på VPWS (punkt-til-punkt), er det mulig å kombinere to undernett av bedriftskontorer til ett nettverk, med en enkelt ende-til-ende IP-adressering. VPLS er en teknologi som gir flerpunktsforbindelser over en pakkebasert IP/MPLS-nettverksinfrastruktur. VPLS lar deg kombinere flere geografisk distribuerte lokale nettverk av bedriftskontorer til et enkelt lokalt nettverk. I dette tilfellet er tjenesteleverandørens MPLS-nettverk en virtuell Ethernet-svitsj (L2-svitsj) som videresender Ethernet-rammer mellom LAN-segmenter til individuelle kundekontorer. Diagrammet over et geografisk distribuert (innenfor byen) lokalt nettverk til selskapet er vist i fig. 6.

Ris. 6. Opplegg for et geografisk distribuert (innenfor byen) lokalt nettverk av selskapet

Essensen av VPLS-konseptet er den transparente overføringen av Ethernet PC-rammer til lokale kontornettverk (segmenter av kundekontornettverk) til kunden over leverandørens MPLS-ryggradsnettverk. Kantenhetene på kundesiden av VPLS 1 er brytere CE0, CE1, CE2, som kobles til enhetene PE0, PE1, PE2. PE-rutere kommuniserer med hverandre for å identifisere alle PE-er som er koblet til VPLS 1. PE- og P-enhetene bygger rutetabeller som LSP-er og pseudo-lenker opprettes fra.

Både BGP og LDP kan brukes som signalprotokoller. Virtuelle brytere VSI 1 av enheter PE0, PE1, PE2 byggetabeller for videresending av MPLS-pakker. For eksempel genererer VSI 1 til enheten PE0 svitsjetabellen vist i fig. 6. Når en Ethernet-ramme ankommer fra en av hovedkontorets LAN-PCer ved inngangen til enheten PE0, kapsler den inn Ethernet-rammen i en MPLS-pakke og, ved hjelp av svitsjetabellen, videresender den til tunnelen som pakken ankommer til utgangsenhet PE1.

For å videresende en pakke gjennom et MPLS-nettverk (via pseudo-kanaler i LSP-tunneler), brukes en etikettstack, som består av en LSP-tunneletikett og en pseudokanal VC-etikett, for eksempel 15. Ved utgangsenheten PE1, MPLS-pakker konverteres til Ethernet-rammer og videresendes til switch C1, som destinasjons-PC-en er koblet til med MAC-adresse 90:5C:E7:C8:56:93. Dokumentene RFC 4761 og RFC 4762 beskriver signaleringsmetoder basert på BGP- og LDP-protokollene for lokale nettverk organisert ved hjelp av VPLS-tjenester.

Liste over informasjonskilder:

1. Datanettverk. Prinsipper, teknologier, protokoller: Lærebok for universiteter. 4. utg. / V.G. Olifer, N.A. Olifer – St. Petersburg. Peter, 2010. – 944 s.

2. Olwein, Vivec. Struktur og implementering av moderne MPLS-teknologi.: Pr. fra engelsk – M.: Williams Publishing House, 2004. – 480 s.