شبكه های خصوصی مجازی

a h m a d

New Member
شبكه های خصوصی مجازی
در طی ده سال گذشته دنیا دستخوش تحولات فراوانی در عرصه ارتباطات بوده است . اغلب سازمانها و موسسات ارائه دهنده كالا و خدمات كه در گذشته بسیار محدود و منطقه ای مسائل را دنبال و در صدد ارائه راهكارهای مربوطه بودند ، امروزه بیش از گذشته نیازمند تفكر در محدوده جهانی برای ارائه خدمات و كالای تولیده شده را دارند. به عبارت دیگر تفكرات منطقه ای و محلی حاكم بر فعالیت های تجاری جای خود را به تفكرات جهانی و سراسری داده اند. امروزه با سازمانهای زیادی برخورد می نمائیم كه در سطح یك كشور دارای دفاتر فعال و حتی در سطح دنیا دارای دفاتر متفاوتی می باشند . تمام سازمانهای فوق قبل از هر چیز بدنبال یك اصل بسیار مهم می باشند : یك روش سریع ، ایمن و قابل اعتماد بمنظور برقراری ارتباط با دفاتر و نمایندگی در اقصی نقاط یك كشور و یا در سطح دنیا

اكثر سازمانها و موسسات بمنظور ایجاد یك شبكهWAN از خطوط اختصاصی(Leased Line) استفاده می نمایند.خطوط فوق دارای انواع متفاوتی می باشند.ISDN ( با سرعت 128 كیلوبیت در ثانیه )،(OC3Optical Carrier-3) ( با سرعت 155 مگابیت در ثانیه ) دامنه وسیع خطوط اختصاصی را نشان می دهد. یك شبكهWAN دارای مزایای عمده ای نسبت به یك شبكه عمومی نظیر اینترنت از بعد امنیت وكارآئی است . پشتیانی و نگهداری یك شبكهWAN در عمل و زمانیكه از خطوط اختصاصی استفاده می گردد ، مستلزم صرف هزینه بالائی است
همزمان با عمومیت یافتن اینترنت ، اغلب سازمانها و موسسات ضرورت توسعه شبكه اختصاصی خود را بدرستی احساس كردند. در ابتدا شبكه های اینترانت مطرح گردیدند.این نوع شبكه بصورت كاملا" اختصاصی بوده و كارمندان یك سازمان با استفاده از رمز عبور تعریف شده ، قادر به ورود به شبكه و استفاده از منابع موجود می باشند. اخیرا" ، تعداد زیادی از موسسات و سازمانها با توجه به مطرح شدن خواسته های جدید ( كارمندان از راه دور ، ادارات از راه دور )، اقدام به ایجاد شبكه های اختصاصی مجازی***)Virtual Private Network) نموده اند.
یك*** ، شبكه ای اختصاصی بوده كه از یك شبكه عمومی ( عموما" اینترنت ) ، برای ارتباط با سایت های از راه دور و ارتباط كاربران بایكدیگر، استفاده می نماید. این نوع شبكه ها در عوض استفاده از خطوط واقعی نظیر : خطوطLeased ، از یك ارتباط مجازی بكمك اینترنت برای شبكه اختصاصی بمنظور ارتباط به سایت ها استفاده می كند. عناصر تشكیل دهنده یك***

دو نوع عمده شبكه های*** وجود دارد :

* دستیابی از راه دور(Remote-Access) . به این نوع از شبكه هاVPDN)Virtual private dial-up network)، نیز گفته می شود.در شبكه های فوق از مدل ارتباطیUser-To-Lan ( ارتباط كاربر به یك شبكه محلی ) استفاده می گردد. سازمانهائی كه از مدل فوق استفاده می نمایند ، بدنبال ایجاد تسهیلات لازم برای ارتباط پرسنل ( عموما" كاربران از راه دور و در هر مكانی می توانند حضور داشته باشند ) به شبكه سازمان می باشند. سازمانهائی كه تمایل به برپاسازی یك شبكه بزرگ " دستیابی از راه دور " می باشند ، می بایست از امكانات یك مركز ارائه دهنده خدمات اینترنت جهانیESP)Enterprise service provider) استفاده نمایند. سرویس دهندهESP ، بمنظور نصب و پیكربندی*** ، یكNAS)Network access server) را پیكربندی و نرم افزاری را در اختیار كاربران از راه دور بمنظور ارتباط با سایت قرار خواهد داد. كاربران در ادامه با برقراری ارتباط قادر به دستیابی بهNAS و استفاده از نرم افزار مربوطه بمنظور دستیابی به شبكه سازمان خود خواهند بود.
* سایت به سایت(Site-to-Site) . در مدل فوق یك سازمان با توجه به سیاست های موجود ، قادر به اتصال چندین سایت ثابت از طریق یك شبكه عمومی نظیر اینترنت است . شبكه های*** كه از روش فوق استفاده می نمایند ، دارای گونه های خاصی در این زمینه می باشند:
- مبتنی بر اینترانت . در صورتیكه سازمانی دارای یك و یا بیش از یك محل ( راه دور) بوده و تمایل به الحاق آنها در یك شبكه اختصاصی باشد ، می توان یك اینترانت*** را بمنظور برقرای ارتباط هر یك از شبكه های محلی با یكدیگر ایجاد نمود.
- مبتنی بر اكسترانت . در مواردیكه سازمانی در تعامل اطلاعاتی بسیار نزدیك با سازمان دیگر باشد ، می توان یك اكسترانت*** را بمنظور ارتباط شبكه های محلی هر یك از سازمانها ایجاد كرد. در چنین حالتی سازمانهای متعدد قادر به فعالیت در یك محیط اشتراكی خواهند بود.
استفاده از*** برای یك سازمان دارای مزایای متعددی نظیر : گسترش محدوه جغرافیائی ارتباطی ، بهبود وضعیت امنیت ، كاهش هزینه های عملیاتی در مقایسه با روش های سنتیWAN ، كاهش زمان ارسال و حمل اطلاعات برای كاربران از راه دور ، بهبود بهره وری ، توپولوژی آسان ،... است . در یكه شبكه*** به عوامل متفاوتی نظیر : امنیت ، اعتمادپذیری ، مدیریت شبكه و سیاست ها نیاز خواهد بود. شبكه هایLAN جزایر اطلاعاتی

فرض نمائید در جزیره ای در اقیانوسی بزرگ ، زندگی می كنید. هزاران جزیره در اطراف جزیره شما وجود دارد. برخی از جزایر نزدیك و برخی دیگر دارای مسافت طولانی با جزیره شما می باشند. متداولترین روش بمنظور مسافرت به جزیره دیگر ، استفاده از یك كشتی مسافربری است . مسافرت با كشتی مسافربری ، بمنزله عدم وجود امنیت است . در این راستا هر كاری را كه شما انجام دهید ، توسط سایر مسافرین قابل مشاهده خواهد بود. فرض كنید هر یك از جزایر مورد نظر به مشابه یك شبكه محلی(LAN) و اقیانوس مانند اینترنت باشند. مسافرت با یك كشتی مسافربری مشابه برقراری ارتباط با یك سرویس دهنده وب و یا سایر دستگاههای موجود در اینترنت است . شما دارای هیچگونه كنترلی بر روی كابل ها و روترهای موجود در اینترنت نمی باشید. ( مشابه عدم كنترل شما بعنوان مسافر كشتی مسافربری بر روی سایر مسافرین حاضر در كشتی ) .در صورتیكه تمایل به ارتباط بین دو شبكه اختصاصی از طریق منابع عمومی وجود داشته باشد ، اولین مسئله ای كه با چالش های جدی برخورد خواهد كرد ، امنیت خواهد بود. فرض كنید ، جزیره شما قصد ایجاد یك پل ارتباطی با جزیره مورد نظر را داشته باشد .مسیر ایجاد شده یك روش ایمن ، ساده و مستقیم برای مسافرت ساكنین جزیره شما به جزیره دیگر را فراهم می آورد. همانطور كه حدس زده اید ، ایجاد و نگهداری یك پل ارتباطی بین دو جزیره مستلزم صرف هزینه های بالائی خواهد بود.( حتی اگر جزایر در مجاورت یكدیگر باشند ) . با توجه به ضرورت و حساسیت مربوط به داشتن یك مسیر ایمن و مطمئن ، تصمیم به ایجاد پل ارتباطی بین دو جزیره گرفته شده است . در صورتیكه جزیره شما قصد ایجاد یك پل ارتباطی با جزیره دیگر را داشته باشد كه در مسافت بسیار طولانی نسبت به جزیره شما واقع است ، هزینه های مربوط بمراتب بیشتر خواهد بود. وضعیت فوق ، نظیر استفاده از یك اختصاصیLeased است . ماهیت پل های ارتباطی ( خطوط اختصاصی ) از اقیانوس ( اینترنت ) متفاوت بوده و كماكن قادر به ارتباط جزایر( شبكه هایLAN) خواهند بود. سازمانها و موسسات متعددی از رویكرد فوق ( استفاده از خطوط اختصاصی) استفاده می نمایند. مهمترین عامل در این زمینه وجود امنیت و اطمینان برای برقراری ارتباط هر یك سازمانهای مورد نظر با یكدیگر است . در صورتیكه مسافت ادارات و یا شعب یك سازمان از یكدیگر بسیار دور باشد ، هزینه مربوط به برقرای ارتباط نیز افزایش خواهد یافت .

با توجه به موارد گفته شده ، چه ضرورتی بمنظور استفاده از*** وجود داشته و*** تامین كننده ، كدامیك از اهداف و خواسته های مورد نظر است ؟ با توجه به مقایسه انجام شده در مثال فرضی ، می توان گفت كه با استفاده از*** به هریك از ساكنین جزیره یك زیردریائی داده می شود. زیردریائی فوق دارای خصایص متفاوت نظیر :
دارای سرعت بالا است .
هدایت آن ساده است .
قادر به استتار( مخفی نمودن) شما از سایر زیردریا ئیها و كشتی ها است .
قابل اعتماد است .
پس از تامین اولین زیردریائی ، افزودن امكانات جانبی و حتی یك زیردریائی دیگرمقرون به صرفه خواهد بود
در مدل فوق ، با وجود ترافیك در اقیانوس ، هر یك از ساكنین دو جزیره قادر به تردد در طول مسیر در زمان دلخواه خود با رعایت مسایل ایمنی می باشند. مثال فوق دقیقا" بیانگر تحوه عملكرد*** است . هر یك از كاربران از راه دور شبكه قادربه برقراری ارتباطی امن و مطمئن با استفاده از یك محیط انتقال عمومی ( نظیر اینترنت ) با شبكه محلی(LAN) موجود در سازمان خود خواهند بود. توسعه یك*** ( افزایش تعداد كاربران از راه دور و یا افزایش مكان های مورد نظر ) بمراتب آسانتر از شبكه هائی است كه از خطوط اختصاصی استفاده می نمایند. قابلیت توسعه فراگیر از مهمتزین ویژگی های یك*** نسبت به خطوط اختصاصی است . امنیت***

شبكه های*** بمنظور تامین امنیت (داده ها و ارتباطات) از روش های متعددی استفاده می نمایند :

*فایروال . فایروال یك دیواره مجازی بین شبكه اختصای یك سازمان و اینترنت ایجاد می نماید. با استفاده از فایروال می توان عملیات متفاوتی را در جهت اعمال سیاست های امنیتی یك سازمان انجام داد. ایجاد محدودیت در تعداد پورت ها فعال ، ایجاد محدودیت در رابطه به پروتكل های خاص ، ایجاد محدودیت در نوع بسته های اطلاعاتی و ... نمونه هائی از عملیاتی است كه می توان با استفاده از یك فایروال انجام داد.
*رمزنگاری. فرآیندی است كه با استفاده از آن كامپیوتر مبداء اطلاعاتی رمزشده را برای كامپیوتر دیگر ارسال می نماید. سایر كامپیوترها ی مجاز قادر به رمزگشائی اطلاعات ارسالی خواهند بود. بدین ترتیب پس از ارسال اطلاعات توسط فرستنده ، دریافت كنندگان، قبل از استفاده از اطلاعات می بایست اقدام به رمزگشائی اطلاعات ارسال شده نمایند. سیستم های رمزنگاری در كامپیوتر به دو گروه عمده تقسیم می گردد :
رمزنگاری كلید متقارن
رمزنگاری كلید عمومی
در رمز نگاری " كلید متقارن " هر یك از كامپیوترها دارای یك كلیدSecret ( كد ) بوده كه با استفاده از آن قادر به رمزنگاری یك بسته اطلاعاتی قبل از ارسال در شبكه برای كامپیوتر دیگر می باشند. در روش فوق می بایست در ابتدا نسبت به كامپیوترهائی كه قصد برقراری و ارسال اطلاعات برای یكدیگر را دارند ، آگاهی كامل وجود داشته باشد. هر یك از كامپیوترهای شركت كننده در مبادله اطلاعاتی می بایست دارای كلید رمز مشابه بمنظور رمزگشائی اطلاعات باشند. بمنظور رمزنگاری اطلاعات ارسالی نیز از كلید فوق استفاده خواهد شد. فرض كنید قصد ارسال یك پیام رمز شده برای یكی از دوستان خود را داشته باشید. بدین منظور از یك الگوریتم خاص برای رمزنگاری استفاده می شود .در الگوریتم فوق هر حرف به دوحرف بعد از خود تبدیل می گردد.(حرفA به حرفC ، حرفB به حرفD ) .پس از رمزنمودن پیام و ارسال آن ، می بایست دریافت كننده پیام به این حقیقت واقف باشد كه برای رمزگشائی پیام لرسال شده ، هر حرف به دو حرق قبل از خود می باطست تبدیل گردد. در چنین حالتی می باطست به دوست امین خود ، واقعیت فوق ( كلید رمز ) گفته شود. در صورتیكه پیام فوق توسط افراد دیگری دریافت گردد ، بدلیل عدم آگاهی از كلید ، آنان قادر به رمزگشائی و استفاده از پیام ارسال شده نخواهند بود.
در رمزنگاری عمومی از تركیب یك كلید خصوصی و یك كلید عمومی استفاده می شود. كلید خصوصی صرفا" برای كامپیوتر شما ( ارسال كننده) قابل شناسائی و استفاده است . كلید عمومی توسط كامپیوتر شما در اختیار تمام كامپیوترهای دیگر كه قصد ارتباط با آن را داشته باشند ، گذاشته می شود. بمنظور رمزگشائی یك پیام رمز شده ، یك كامپیوتر می بایست با استفاده از كلید عمومی ( ارائه شده توسط كامپیوتر ارسال كننده ) ، كلید خصوصی مربوط به خود اقدام به رمزگشائی پیام ارسالی نماید . یكی از متداولترین ابزار "رمزنگاری كلید عمومی" ، روشی با نامPGP)Pretty Good Privacy) است . با استفاده از روش فوق می توان اقدام به رمزنگاری اطلاعات دلخواه خود نمود.
*IPSec . پروتكلIPsec)Internet protocol security protocol) ، یكی از امكانات موجود برای ایجاد امنیت در ارسال و دریافت اطلاعات می باشد . قابلیت روش فوق در مقایسه با الگوریتم های رمزنگاری بمراتب بیشتر است . پروتكل فوق دارای دو روش رمزنگاری است :Tunnel ،Transport . در روشtunel ، هدر وPayload رمز شده درحالیكه در روشtransport صرفا"payload رمز می گردد. پروتكل فوق قادر به رمزنگاری اطلاعات بین دستگاههای متفاوت است :
روتر به روتر
فایروال به روتر
كامپیوتر به روتر
كامپیوتر به سرویس دهنده
*سرویس دهندهAAA . سرویس دهندگان(AAA :Authentication,Authorization,Accounting) بمنظور ایجاد امنیت بالا در محیط های*** از نوع " دستیابی از راه دور " استفاده می گردند. زمانیكه كاربران با استفاده از خط تلفن به سیستم متصل می گردند ، سرویس دهندهAAA درخواست آنها را اخذ و عمایات زیر را انجام خواهد داد :
شما چه كسی هستید؟ ( تایید،Authentication )
شما مجاز به انجام چه كاری هستید؟ ( مجوز ،Authorization )
چه كارهائی را انجام داده اید؟ ( حسابداری ،Accounting ) تكنولوژی های***

با توجه به نوع*** ( " دستیابی از راه دور " و یا " سایت به سایت " ) ، بمنظور ایجاد شبكه از عناصر خاصی استفاده می گردد:

نرم افزارهای مربوط به كاربران از راه دور
سخت افزارهای اختصاصی نظیر یك " كانكتور***" و یا یك فایروالPIX
سرویس دهنده اختصاصی*** بمنظور سرویُس هایDial-up
سرویس دهندهNAS كه توسط مركز ارائه خدمات اینترنت بمنظور دستیابی به*** از نوع "دستیابی از را دور" استفاده می شود.
شبكه*** و مركز مدیریت سیاست ها
با توجه به اینكه تاكنون یك استاندارد قابل قبول و عمومی بمنظور ایجاد ش*** ایجاد نشده است ، شركت های متعدد هر یك اقدام به تولید محصولات اختصاصی خود نموده اند.
- كانكتور*** . سخت افزار فوق توسط شركت سیسكو طراحی و عرضه شده است. كانكتور فوق در مدل های متفاوت و قابلیت های گوناگون عرضه شده است . در برخی از نمونه های دستگاه فوق امكان فعالیت همزمان 100 كاربر از راه دور و در برخی نمونه های دیگر تا 10.000 كاربر از راه دور قادر به اتصال به شبكه خواهند بود.
- روتر مختص*** . روتر فوق توسط شركت سیسكو ارائه شده است . این روتر دارای قابلیت های متعدد بمنظور استفاده در محیط های گوناگون است . در طراحی روتر فوق شبكه های*** نیز مورد توجه قرار گرفته و امكانات مربوط در آن بگونه ای بهینه سازی شده اند.
- فایروالPIX . فایروالPIX(Private Internet eXchange) قابلیت هائی نظیرNAT ، سرویس دهندهProxy ، فیلتر نمودن بسته ای اطلاعاتی ، فایروال و*** را در یك سخت افزار فراهم نموده است .
 

جدیدترین ارسال ها

بالا