Vpn схема: VPN – типы подключения и проверка безопасности

Содержание

Корпоративные сети IP VPN. Объединение офисов — Интернет и передача данных

Для компаний, имеющих удаленные филиалы, насущной проблемой является организация быстрого и надежного обмена информацией, оперативного доступа к данным и уверенность в их защищенности.

Единая среда, объединяющая информационные ресурсы, офисную телефонную сеть и расширенные функции обмена информацией (например, теле- и видеоконференции), обеспечивается путем организации корпоративной сети IP VPN. 

Безопасность 

Виртуальная частная сеть (VPN) отделена от публичных сетей. Трафик внутри сети полностью защищен от несанкционированного доступа и прослушивания извне. Информационные массивы, базы данных и телефонные разговоры доступны только для внутренних пользователей корпоративной сети. Корпоративная телефонная сеть не имеет выхода в сеть общего пользования (ТфОП).

Сеть легко конфигурируется и масштабируется до гигабитных скоростей. Наличие канала передачи данных подразумевает оперативное администрирование сети IP VPN. 

Есть возможность самостоятельно устанавливать и регулировать приоритетность трафика того или иного бизнес-приложения. 

Схемы подключения

Специалисты ВестКолл предложат оптимальное решение для связи между офисами.
 


Звезда
  • Главный офис и второстепенные филиалы
Заказать
Каждый с каждым
  • Возможность офисам общаться в режиме «каждый с каждым»
Заказать

l2 vpn или l3 vpn

Решения L2 или L3 VPN могут применяться в различных схемах исполнения — «Точка-Точка», «Звезда», «Full Mesh».

В случае использования «одноранговой» сети с небольшим количеством устройств (компьютеров, принтеров, и т. д.) или точек подключения (офисов) зачастую используется схема L2 VPN, работающая на 2-ом уровне модели  OSI. Эта схема более проста в настройке и обслуживании, чем схема L3 VPN. Поэтому L2 VPN часто используется для небольших предприятий.

Схема с использованием L3 VPN более гибкая и масштабируемая. L3 позволяет не только коммутировать, но и маршрутизировать трафик, за счет работы на 3-м уровне модели OSI. Она применяется в более распределенных сетях с неограниченным количеством устройств в сети. L3 VPN дает возможность более гибко использовать адресное пространство IP-адресов, применять L3 — Access-листы и обеспечивать максимальную безопасность и управление. 

5 причин заказать vpn в вестколле

Ваша заявка успешно принята. Спасибо за обращение!

Подключение локальных сетей к виртуальной сети — VPN-подключение типа «сеть — сеть» — CLI — Azure VPN Gateway

  • Чтение занимает 13 мин

В этой статье

В этой статье показано, как с помощью Azure CLI создавать подключение типа «сеть — сеть» с использованием VPN-шлюза между вашей локальной сетью к виртуальной. Приведенные в этой статье инструкции относятся к модели развертывания с помощью Resource Manager. Эту конфигурацию также можно создать с помощью разных средств или моделей развертывания, выбрав вариант из следующего списка:

Подключение VPN-шлюза типа «сеть — сеть» используется для подключения между локальной сетью и виртуальной сетью Azure через туннель VPN по протоколу IPsec/IKE (IKEv1 или IKEv2). Для этого типа подключения требуется локальное VPN-устройство, которому назначен внешний общедоступный IP-адрес. Дополнительные сведения о VPN-шлюзах см. в этой статье.

Перед началом

Перед началом настройки убедитесь, что удовлетворены следующие требования:

  • Убедитесь, что у вас есть совместимое VPN–устройство и пользователь, который может настроить его. Дополнительные сведения о совместимых устройствах VPN и их настройке см. в этой статье.
  • Убедитесь, что у вас есть общедоступный IPv4–адрес для вашего VPN–устройства.
  • Если вы не знаете диапазоны IP-адресов в своей конфигурации локальной сети, найдите того, кто сможет предоставить вам нужную информацию. При создании этой конфигурации необходимо указать префиксы диапазона IP-адресов, которые Azure будет направлять к локальному расположению. Ни одна из подсетей локальной сети не может перекрывать виртуальные подсети, к которым вы хотите подключиться.
  • Используйте среду Bash в Azure Cloud Shell.

  • При необходимости установите Azure CLI, чтобы выполнять справочные команды CLI.

    • Если вы используете локальную установку, выполните вход в Azure CLI с помощью команды az login. Чтобы выполнить аутентификацию, следуйте инструкциям в окне терминала. Сведения о дополнительных возможностях, доступных при входе, см. в статье Вход с помощью Azure CLI.

    • Если появится запрос, установите расширения Azure CLI при первом использовании. Дополнительные сведения о расширениях см. в статье Использование расширений с Azure CLI.

    • Выполните команду az version, чтобы узнать установленную версию и зависимые библиотеки. Чтобы обновиться до последней версии, выполните команду az upgrade.

  • Для работы с этой статьей требуется Azure CLI версии 2.0 или более поздней. Если вы используете Azure Cloud Shell, последняя версия уже установлена.

Примеры значений

Следующие значения можно использовать для создания тестовой среды или для лучшего понимания примеров в этой статье.

#Example values

VnetName                = TestVNet1 
ResourceGroup           = TestRG1 
Location                = eastus 
AddressSpace            = 10.11.0.0/16 
SubnetName              = Subnet1 
Subnet                  = 10.11.0.0/24 
GatewaySubnet           = 10.11.255.0/27 
LocalNetworkGatewayName = Site2 
LNG Public IP           = <VPN device IP address>
LocalAddrPrefix1        = 10.0.0.0/24
LocalAddrPrefix2        = 20.0.0.0/24   
GatewayName             = VNet1GW 
PublicIP                = VNet1GWIP 
VPNType                 = RouteBased 
GatewayType             = Vpn 
ConnectionName          = VNet1toSite2

1. Подключение к подписке

Для локального выполнения интерфейса командной строки необходимо подключиться к подписке. Если вы используете Azure Cloud Shell в браузере, подключаться к подписке не требуется. В таком случае подключение к Azure Cloud Shell будет устанавливаться автоматически. Тем не менее при необходимости после подключения вы можете убедиться, что используется правильная подписка.

Войдите в свою подписку Azure с помощью команды az login и следуйте инструкциям на экране. Дополнительные сведения о входе в систему см. в статье Начало работы с Azure CLI.

az login

Если у вас есть несколько подписок Azure, укажите подписки для этой учетной записи.

az account list --all

Укажите подписку, которую нужно использовать.

az account set --subscription <replace_with_your_subscription_id>

2. Создание группы ресурсов

В следующем примере создается группа ресурсов с именем TestRG1 в расположении eastus. Если у вас уже есть группа ресурсов в регионе, где вы хотите создать виртуальную сеть, вы можете воспользоваться ею.

az group create --name TestRG1 --location eastus

3. Создание виртуальной сети

Если у вас еще нет виртуальной сети, создайте ее, используя команду az network vnet create. При создании виртуальной сети убедитесь, что указанные адресные пространства не перекрываются ни с одним из адресных пространств, которые используются в локальной сети.

Примечание

Для подключения этой виртуальной сети к локальному расположению вам необходимо обратиться к администратору локальной сети, чтобы выделить диапазон IP-адресов, который будет использоваться специально для этой виртуальной сети. Если повторяющийся диапазон адресов существует на обеих сторонах VPN-подключения, трафик не будет маршрутизироваться должным образом. Кроме того, если вы хотите подключить виртуальную сеть к другой виртуальной сети, адресное пространство не должно пересекаться с другой виртуальной сетью. Спланируйте конфигурацию сети соответствующим образом.

В следующем примере создаются виртуальная сеть TestVNet1 и подсеть Subnet1.

az network vnet create --name TestVNet1 --resource-group TestRG1 --address-prefix 10.11.0.0/16 --location eastus --subnet-name Subnet1 --subnet-prefix 10.11.0.0/24

4. Создание подсети шлюза

Шлюз виртуальной сети использует определенную подсеть, которая называется подсетью шлюза. Подсеть шлюза входит в диапазон IP-адресов виртуальной сети, который вы указываете при ее настройке. Подсеть шлюза содержит IP-адреса, которые используют ресурсы и службы шлюза виртуальной сети. Чтобы развертывать ресурсы шлюза в Azure, подсети нужно присвоить имя GatewaySubnet. Для развертывания ресурсов шлюза нельзя указывать другую подсеть. Если при создании VPN-шлюза у вас нет подсети с именем GatewaySubnet, операция завершится сбоем.

При создании подсети шлюза указывается количество IP-адресов, которое содержит подсеть. Необходимое количество IP-адресов зависит от конфигурации VPN-шлюза, который вы хотите создать. Некоторым конфигурациям требуется больше IP-адресов, чем прочим. Рекомендуем создать подсеть шлюза, которая использует /27 или /28.

Если появится сообщение об ошибке, которое указывает, что адресное пространство пересекается с подсетью или что подсеть находится вне адресного пространства виртуальной сети, проверьте диапазон адресов виртуальной сети. Возможно, в диапазоне адресов, созданном для виртуальной сети, недостаточно IP-адресов. Например, если подсеть по умолчанию охватывает весь диапазон адресов, не остается IP-адресов для создания дополнительных подсетей. Можно настроить подсети в существующем пространстве адресов, чтобы освободить IP-адреса, или указать дополнительный диапазон адресов и создать в нем подсеть шлюза.

Используйте команду azure network vnet subnet create, чтобы создать шлюз подсети.

az network vnet subnet create --address-prefix 10.11.255.0/27 --name GatewaySubnet --resource-group TestRG1 --vnet-name TestVNet1

Важно!

При работе с подсетями шлюза не связывайте группу безопасности сети (NSG) с подсетью шлюза. Связывание группы безопасности сети с этой подсетью приведет к тому, что шлюз виртуальной сети (VPN-шлюз и шлюз Express Route) перестанет работать ожидаемым способом. Дополнительные сведения о группах безопасности сети см. в статье Фильтрация сетевого трафика с помощью групп безопасности сети.

5. Создание локального сетевого шлюза

Обычно термин «шлюз локальной сети» означает локальное расположение. Присвойте сайту имя, по которому Azure может обращаться к этому сайту, а затем укажите IP-адрес локального VPN-устройства, к которому вы подключитесь. Вы можете также указать префиксы IP-адресов, которые будут направляться через VPN-шлюз к VPN-устройству. Указываемые префиксы адресов расположены в локальной сети. При изменении локальной сети вы сможете без проблем обновить эти префиксы.

Используйте следующие значения.

  • Параметр —gateway-ip-address — это IP-адрес локального VPN-устройства.
  • —local-address-prefixes — это локальные адресные пространства.

Используйте команду az network local-gateway create,чтобы добавить шлюз локальной сети с несколькими префиксами адресов:

az network local-gateway create --gateway-ip-address 23.99.221.164 --name Site2 --resource-group TestRG1 --local-address-prefixes 10.0.0.0/24 20.0.0.0/24

6. Запрос общедоступного IP-адреса

VPN-шлюз должен иметь общедоступный IP-адрес. Сначала запросите ресурс IP-адреса, а затем укажите его при создании шлюза виртуальной сети. IP-адрес динамически назначается ресурсу при создании VPN-шлюза. В настоящее время VPN-шлюз поддерживает только динамическое выделение общедоступных IP-адресов. Вы не можете запросить назначение статического общедоступного IP-адреса. Однако это не означает, что IP-адрес изменяется после назначения VPN-шлюзу. Общедоступный IP-адрес изменяется только после удаления и повторного создания шлюза. При изменении размера, сбросе или других внутренних операциях обслуживания или обновления IP-адрес VPN-шлюза не изменяется.

Используйте команду az network public-ip create, чтобы запросить динамический общедоступный IP-адрес.

az network public-ip create --name VNet1GWIP --resource-group TestRG1 --allocation-method Dynamic

7. Создание VPN-шлюза

Создайте VPN-шлюз виртуальной сети. Создание шлюза часто занимает 45 минут и более, в зависимости от выбранного SKU шлюза.

Используйте следующие значения.

  • Для конфигурации «сеть — сеть» задайте для параметра —gateway-type значение Vpn. Тип шлюза всегда зависит от реализуемой конфигурации. Дополнительные сведения см. в разделе Типы шлюзов.
  • У параметра —vpn-type может быть значение RouteBased (в некоторых документах такой шлюз называется шлюзом с динамической маршрутизацией) или PolicyBased (в некоторых документах — шлюз со статической маршрутизацией). Этот параметр зависит от требований устройства, к которому вы подключаетесь. Дополнительные сведения о VPN-шлюзах см. в этой статье.
  • Выберите SKU шлюза, который нужно использовать. К определенным номерам SKU применяются ограничения настройки. Дополнительные сведения см. в разделе о номерах SKU шлюзов.

Чтобы создать VPN-шлюз, используйте команду az network vnet-gateway create. При выполнении этой команды с использованием параметра —no-wait вы не увидите ответа или выходных данных. Этот параметр позволяет создать шлюз в фоновом режиме. Для создания шлюза требуется не менее 45 минут.

az network vnet-gateway create --name VNet1GW --public-ip-address VNet1GWIP --resource-group TestRG1 --vnet TestVNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw1 --no-wait 

8. Настройка VPN-устройства

Для подключения типа «сеть — сеть» к локальной сети требуется VPN-устройство. На этом этапе мы настроим VPN-устройство. Чтобы настроить локальное VPN-устройство, вам потребуется следующее:

  • Общий ключ. Это тот же общий ключ, который указывается при создании VPN-подключения «сеть — сеть». В наших примерах мы используем простые общие ключи. Для практического использования рекомендуется создавать более сложные ключи.

  • Общедоступный IP-адрес шлюза виртуальной сети. Общедоступный IP-адрес можно просмотреть с помощью портала Azure, PowerShell или CLI. Чтобы найти общедоступный IP-адрес шлюза виртуальной сети, используйте команду az network public-ip list. Для удобства чтения выходные данные форматируются для отображения списка общедоступных IP-адресов в формате таблицы.

    az network public-ip list --resource-group TestRG1 --output table
    

Скачивание скриптов конфигурации VPN-устройства:

В зависимости устройства VPN можно загрузить для него скрипт конфигурации. Дополнительные сведения см. в статье о скачивании скриптов конфигурации для VPN-устройств.

Дополнительные сведения о конфигурации см. по следующим ссылкам:

  • См. дополнительные сведения о совместимых VPN-устройствах.

  • Прежде чем настраивать VPN-устройство, которое вы хотите использовать, проверьте его на наличие известных проблем совместимости устройств.

  • См. дополнительные сведения о проверенных VPN-устройствах. Ссылки на инструкции по настройке устройств будут предоставляться по мере возможности. Актуальные сведения о конфигурации всегда лучше проверять у производителей устройств. В списке перечислены протестированные нами версии. Если вашей ОС нет в этом списке, эта версия все равно может быть совместимой. Обратитесь к изготовителю устройства, чтобы проверить совместимость версии ОС с вашим VPN-устройством.

  • Общие сведения о конфигурации устройства VPN см. в статье Обзор конфигураций партнерских VPN-устройств.

  • См. дополнительные сведения о примерах изменения конфигурации устройств.

  • См. дополнительные сведения о требованиях к шифрованию и VPN-шлюзах Azure.

  • См. дополнительные сведения о VPN-устройствах и параметрах IPsec/IKE для подключений типа «сеть — сеть» через VPN-шлюз. По этой ссылке отображаются сведения о версии IKE, группе Диффи-Хелмана, способе аутентификации, алгоритмах шифрования и хэширования, времени существования SA, PFS, DPD, а также другие сведения о параметрах, необходимых для завершения настройки.

  • См. инструкции по настройке политики IPsec/IKE для VPN-подключений типа «сеть — сеть» или «виртуальная сеть — виртуальная сеть».

  • Сведения о подключении нескольких VPN-устройств на основе политик см. в статье Подключение VPN-шлюзов Azure к нескольким локальным VPN-устройствам на основе политики с помощью PowerShell.

9. Создание VPN-подключения

Создайте VPN-подключение типа «сеть — сеть» между шлюзом виртуальной сети и локальным VPN-устройством. Обратите особое внимание на значение общего ключа, которое должно соответствовать значению заданного общего ключа для VPN-устройства.

Создайте подключение с помощью команды az network vpn-connection create.

az network vpn-connection create --name VNet1toSite2 --resource-group TestRG1 --vnet-gateway1 VNet1GW -l eastus --shared-key abc123 --local-gateway2 Site2

Через некоторое время будет установлено подключение.

10. Проверка VPN-подключения

Убедиться в успешном выполнении подключения можно с помощью команды az network vpn-connection show. В примере параметр —name — это имя подключения, которое требуется проверить. Когда подключение устанавливается, это отображено соответствующим образом (состояние «Подключение»). После установки подключения его состояние изменяется на «Подключено».

az network vpn-connection show --name VNet1toSite2 --resource-group TestRG1

Если вы хотите использовать другой метод проверки подключения, см. статью Проверка соединения VPN-шлюза.

Подключение к виртуальной машине

Вы можете подключиться к виртуальной машине, которая развернута в вашей виртуальной сети, создав подключение к удаленному рабочему столу. Лучший способ проверить, можете ли вы подключиться к своей виртуальной машине, — подключиться, используя частный IP-адрес, а не имя компьютера. Таким образом, вы проверяете, можете ли вы подключиться, а не правильно ли настроено разрешение имен.

  1. Найдите частный IP-адрес. Вы можете найти частный IP-адрес виртуальной машины, просмотрев ее свойства на портале Azure или используя PowerShell.

    • Портал Azure. Найдите свою виртуальную машину на портале Azure. Просмотрите свойства виртуальной машины. Там будет указан частный IP-адрес.

    • PowerShell. Воспользуйтесь примером ниже, чтобы просмотреть список виртуальных машин и частных IP-адресов из ваших групп ресурсов. Вам не нужно изменять этот пример перед использованием.

      $VMs = Get-AzVM
      $Nics = Get-AzNetworkInterface | Where VirtualMachine -ne $null
      
      foreach($Nic in $Nics)
      {
      $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
      $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
      $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
      Write-Output "$($VM.Name): $Prv,$Alloc"
      }
      
  2. Убедитесь, что вы подключены к виртуальной сети с помощью VPN-подключения «точка — сеть».

  3. Откройте подключение к удаленному рабочему столу. Для этого введите «RDP» или «подключение к удаленному рабочему столу» в поле поиска на панели задач, а затем выберите подключение к удаленному рабочему столу. Вы также можете открыть подключение к удаленному рабочему столу с помощью команды mstsc в PowerShell.

  4. В сеансе подключения к удаленному рабочему столу введите частный IP-адрес виртуальной машины. Щелкните «Показать параметры», чтобы настроить дополнительные параметры, а затем подключитесь.

Устранение неполадок с подключением

Если возникают проблемы при подключении к виртуальной машине через VPN-подключение, проверьте следующее.

Стандартные задачи

Этот раздел содержит общие команды, которые могут быть полезны при работе с конфигурациями подключения типа «сайт — сайт». Полный список сетевых команд интерфейса командной строки см. в разделе об управлении ресурсами сети Azure.

Просмотр локальных сетевых шлюзов

Чтобы просмотреть список шлюзов локальной сети, используйте команду az network local-gateway list.

az network local-gateway list --resource-group TestRG1

Изменение префиксов IP-адресов для шлюза локальной сети при отсутствии подключения шлюза

Если нет подключения шлюза и нужно добавить или удалить префиксы IP-адресов, выполните ту же команду, что и для создания шлюза локальной сети (az network local-gateway create). Эта команда также используется для обновления IP-адреса шлюза VPN-устройства. Чтобы перезаписать текущие параметры, укажите существующее имя шлюза локальной сети. Если используется другое имя, необходимо создать новый шлюз локальной сети вместо перезаписи существующего.

При каждом изменении нужно указать полный список префиксов, а не только те префиксы, которые вы хотите изменить. Укажите только те префиксы, которые нужно сохранить. В этом случае это 10.0.0.0/24 и 20.0.0.0/24.

az network local-gateway create --gateway-ip-address 23.99.221.164 --name Site2 -g TestRG1 --local-address-prefixes 10.0.0.0/24 20.0.0.0/24

Изменение префиксов IP-адресов для шлюза локальной сети при наличии подключения шлюза

Если подключение шлюза существует и требуется добавить или удалить префиксы IP-адресов, обновите их с помощью команды az network local-gateway update. После этого VPN-подключение будет некоторое время недоступно. При изменении префиксов IP-адресов не нужно удалять VPN-шлюз.

При каждом изменении нужно указать полный список префиксов, а не только те префиксы, которые вы хотите изменить. В этом примере 10.0.0.0/24 и 20.0.0.0/24 уже существуют. Добавьте префиксы 30.0.0.0/24 и 40.0.0.0/24 и укажите все 4 при обновлении.

az network local-gateway update --local-address-prefixes 10.0.0.0/24 20.0.0.0/24 30.0.0.0/24 40.0.0.0/24 --name VNet1toSite2 -g TestRG1

Изменение шлюза локальной сети gateway-ip-address

Если общедоступный IP-адрес VPN-устройства, к которому вы хотите подключиться, изменился, измените шлюз локальной сети в соответствии с изменениями. IP-адрес шлюза можно изменить, не удаляя существующее подключение VPN-шлюза (если имеется). Чтобы изменить IP-адрес шлюза, замените значения Site2 и TestRG1 собственными, используя команду az network local-gateway update.

az network local-gateway update --gateway-ip-address 23.99.222.170 --name Site2 --resource-group TestRG1

Проверьте правильность IP-адреса в выходных данных:

"gatewayIpAddress": "23.99.222.170",

Проверка значений общего ключа

Убедитесь, что значение общего ключа совпадает со значением, использованным для настройки VPN-устройства. Если это не так, выполните подключение еще раз, используя значение с устройства, или воспользуйтесь предыдущим значением устройства. Значения должны совпадать. Чтобы просмотреть общий ключ, используйте команду az network vpn-connection-list.

az network vpn-connection shared-key show --connection-name VNet1toSite2 --resource-group TestRG1

Просмотр общедоступного IP-адреса VPN-шлюза

Чтобы найти общедоступный IP-адрес шлюза виртуальной сети, используйте команду az network public-ip list. Для удобства чтения выходные данные в этом примере форматируются для отображения списка общедоступных IP-адресов в формате таблицы.

az network public-ip list --resource-group TestRG1 --output table

Дальнейшие действия

Услуги по созданию и настройке виртуальных частных сетей (VPN)

element

В географически распределенных компаниях, как и в компаниях с большим количеством мобильных сотрудников, остро встает вопрос предоставления постоянного доступа к корпоративным сервисам с сохранением защиты информации. Вариантов решения два: или строить выделенный канал, что очень дорого и не решает проблемы доступа с мобильных устройств, или использовать VPN и передавать зашифрованный трафик через общедоступные каналы.

Преимущества использования VPN-сетей:

  • Экономия – подключение осуществляется через Интернет.
  • Расширенная безопасность – подключение осуществляется при помощи протоколов PPTP/L2TP, обеспечивающих аутентификацию и шифрование данных, таким образом в сети Интернет «видны» только внешние IP-адреса.
  • Поддержка сетевых протоколов – благодаря поддержке широко распространенных протоколов можно дистанционно выполнять любое приложение, зависящее от конкретного сетевого протокола.

Защита трафика в виртуальной частной сети обеспечивается целым набором технологий: криптографией, механизмами аутентификации пользователей, инфраструктурой распределения открытых ключей.

Соединения могут быть трех видов, в зависимости от назначения:

{схема} Узел-узел

{схема} узел-сеть

{схема} сеть-сеть

VPN-решения могут быть на базе программно-аппаратных комплексов:

VPN позволяет не просто установить защитное устройство на периметре корпоративной сети (например, межсетевой экран), но и построить стойкую границу вокруг всей корпоративной сети, включая каждый офис, а при необходимости — каждое рабочее место, устройство и каждый сетевой пакет.

Наши специалисты обладают глубокой экспертизой в области построения комплексной защиты ИТ-инфраструктуры и могут предложить, как отдельные VPN-решения, так и в составе межсетевых экранов нового поколения.

Проконсультируйтесь со специалистом CNS.

Подскажите, какие задачи в области информационной безопасности стоят перед вами?

как работает + инструкция по настройке

VPN (Virtual Private Network – виртуальная частная сеть) – технология, позволяющая безопасно подключиться к интернету.

VPN-сервер — это сервер, который принимает, шифрует и/или расшифровывает данные и передаёт их в точку назначения.

VPN-соединение обеспечивает пользователям дополнительный уровень конфиденциальности в интернете. Между Вами (вашим IP-адресом) и сервером создаётся зашифрованный канал: таким образом Ваши данные будут защищены, текущий IP-адрес скрыт и сохранится анонимность в сети.

Простая аналогия: вылазки Гарри Поттера из Хогвартса в соседнюю деревню Хогсмид. Он, если помните, пользовался мантией-невидимкой и тайными ходами, обозначенными на карте Мародёров. Тайные ходы — это и есть VPN сеть, то есть Вы попадаете из точки А (компьютера) в точку Б (сайт), но не прямым путём, а обходным. Ну а мантия-невидимка обеспечивает анонимность.

Принцип работы VPN

Для чего НУЖЕН ВПН

Что ж, я вроде понятно объяснила, что такое VPN-подключение. Теперь разберемся подробнее, зачем и в каком случае может понадобиться VPN-сервер.

1. Безопасность передачи данных. Например, для совершения покупок в интернете Вы передаёте данные своей банковской карты – их могут перехватить мошенники. VPN не допустит этого и обеспечит Вам необходимую защиту.

2. Безопасность в открытых сетях Wi-Fi. Например, в торговых центрах или кафе Вы точно не знаете, кто и как создал эту сеть, и действительно ли она принадлежит данной точке. А VPN зашифрует данные о Вас и Вашем устройстве и никто не сможет ими воспользоваться в преступных целях.

3. Доступ к заблокированным государством ресурсам. В разных странах некоторые ресурсы блокируются. Если, скажем, в Китае пользователю нужно зайти в Инстаграм, то ему придётся прибегнуть к помощи VPN.

Есть и странные случаи: из России, например, нельзя зайти на сайт канадской почты, чтобы отследить посылку. VPN-сервер подменит данные о Вашем местонахождении и Вы сможете свободно перейти на нужный сайт.

4. Защита данных на смартфоне. VPN сделает так, что никто не сможет получить доступ к Вашим перепискам в мессенджерах или украсть другие персональные данные.

5. Защита от провайдеров. Провайдеры собирают информацию о пользователях: историю поиска, на какие сайты Вы переходите, какими мессенджерами пользуетесь и т.д. Благодаря VPN провайдер сможет установить только факт использования виртуальных частных сетей, но не получит доступа к Вашим данным.

6. Подключение к удаленным серверам. VPN позволит подключиться к ним, если, например, пользователю нужно поработать из дома. Поэтому многие крупные компании создают собственные сети впн.

Лучшие VPN сервисы

Для тех, кто не хочет заморачиваться, сразу расскажу о лучших VPN сервисах. Ну а если Вы хотите глубже разобраться в теме — не переключайтесь, дальше в статье будет много интересного.

У каждого из сервисов разные пакеты возможностей, поэтому кликайте и знакомьтесь с каждой программой впн поближе. Я указала минимальную стоимость для покупки услуг на один месяц, но за подписку на несколько месяцев сразу большинство дают бонусы и скидки. В таблице ниже — ТОП впн-клиентов.

СервисСтоимостьБесплатный периодПротоколы
VPN Monster460 руб/мес7 днейOpenVPN
Windscribe VPN660 руб/месБесплатный тарифIKEv2;
OpenVPN;
TCP.
VPN99.net151 руб/мес3 дняOpenVPN;
IPSec.

Только ими, конечно, предложение не ограничивается, так что вот ещё несколько хороших сервисов.

СервисСтоимостьБесплатный периодПротоколы
RSocks727 руб/месНетOpenVPN;
PPTP;
HTTP;
Proxy;
IPsec;
VPN + Tor.
HotVPN624 руб/месНетOpenVPN;
PPTP;
L2TP.
Trust Zone652 руб/мес3 дняOpenVPN;
L2TP/IPSec.
TheSafety1 394 руб/месНетOpenVPN;
IKEv2.
SecureVPN580 руб/месНетPPTP;
L2TP/IPsec;
IKEv2;
OpenVPN.
VPN-Service1 835 руб/месНетOpenVPN;
PPTP.
HideMyNameот 99 руб/месестьOpenVPN;
TCP&UDP; L2TP;
PPTP
Vilki-Vpsот 4990 руб/меснетOpenVPN

Защитите свои данные. Лучшие VPN — в Агрегаторе сервисов.

Как выбрать VPN

Разбежались глаза от разнообразия? Обратите внимание на основные критерии, по которым нужно выбирать подходящий VPN-сервис:

  • Средняя скорость. Любой VPN существенно или не очень снизит скорость соединения. Лучшими считаются сервисы, которые снижают её не более, чем на 30%;
  • Цена подписки. Средняя цена сервиса составит примерно 700 руб/мес. На такую примерно и ориентируйтесь. А если цена слишком высокая или низкая, выясните, почему. Наличие бесплатного тестового периода станет отличным бонусом;
  • Количество стран и серверов. Чем их больше, тем больше у Вас вариантов подключений — и тем, естественно, лучше;
  • Политика конфиденциальности. Обязательно с ней ознакомьтесь: там чётко прописывается, какие данные пользователей хранятся на серверах VPN, а какие нет, возможна ли передача Ваших данных третьим лицам и т.д.
  • Функционал. Обратите внимание на то, какие фишки и плюшки помимо базовых услуг предлагает сервис. Например, безопасные торренты, изменение часового пояса, связка с TOR, смена DNS, возможность использовать впн на нескольких устройствах и т.д.

Как работает VPN

Теперь наглядно разберёмся, как именно работает ВПН. Эта информация, к слову, может Вам пригодиться при выборе сервиса, но об этом я подробнее расскажу ниже.

Типы протоколов VPN

Теперь, когда есть представление о том, что такое VPN, разберёмся в разновидностях его протоколов и рассмотрим их основные преимущества и недостатки. Если Вам это неинтересно и срочно нужны сервисы, то можете сразу переходить к следующей главе.

1. OpenVPN

Сравнительно новый протокол, используется многими VPN-сервисами по умолчанию и считается самым надёжным. Он объединяет в себе несколько технологий, включая SSLv3/TLSv1 протоколы и библиотеку OpenSSL, и поддерживает множество алгоритмов шифрования – это обеспечивает надёжность соединения.

Открытый исходный код протокола позволяет оперативно адаптироваться при возникновении новых опасностей. OpenVPN довольно сложно настроить, но большинство программ предлагает уже готовые настройки.

2. PPTP VPN

Протокол “point to point”, то есть “точка-точка”, создаёт VPN внутри общей сети и часто используется сервисами по умолчанию. Он прост в настройке, поэтому очень распространен. Удобен как для бизнеса, так и для домашнего использования.

Для PPTP не нужно устанавливать дополнительное оборудование, но у него есть и недостаток: данные не шифруются, поэтому полная безопасность не гарантирована.

3. Site-to-Site VPN

Протокол “узел-узел”. Его часто предпочитают в бизнесе: так компьютеры связываются в единую сеть, если они находятся в разных подразделениях компании, будь они в разных офисах или даже в разных странах. Помимо этого, с ним можно подключиться и к сети другой компании.

Уровень безопасности здесь довольно высокий, правда придётся установить дополнительное оборудование или приложения на подключённых к сети устройствах.

4. L2TP

Работает в сочетании с другими протоколами, то есть помимо безопасности подключения можно обеспечить и шифрование данных. Этот протокол очень похож на PPTP VPN, но соединение гораздо надёжнее.

5. IPsec

Устанавливает безопасное подключение к сети. С его помощью образуется туннель к удалённому узлу: данные шифруются и каждая сессия отслеживается. Этот протокол считается одним из самых надёжных.

IPsec VPN существует в двух режимах: транспортном и туннельном. Транспортный шифрует конкретное сообщение в пакете данных, а туннельный – пакет данных целиком.

Этот протокол может работать совместно с другими: уровень безопасности сети повышается, однако на установку приложений потребуется время и умелые руки.

НАС УЖЕ БОЛЕЕ 32 000 чел.
ВКЛЮЧАЙТЕСЬ

6. IKEv2

Оптимальный вариант для подключения к сети на мобильных устройствах. Протокол легко настраивается, обеспечивает пользователю высокую скорость и безопасность соединения, стабильно работает, но уязвим к блокировке брандмауэрами.

7. SSL и TLS

Работают как один протокол. SSL VPN – протокол защищённых сокетов, TLS VPN — транспортный протокол. Он устанавливает безопасное соединение от веб-браузера до сервера сайта и установлен в большинстве браузеров по умолчанию. Часто применяется в онлайн-магазинах: пользователь получает доступ к специальным предложениям вместо всей сети.

8. MPLS VPN

Очень гибкий протокол, который можно адаптировать под нужные условия. VPN-клиенты с поддержкой MPLS работают с провайдерами: несколько сайтов объединяются и формируют VPN на основе мощностей этого провайдера.

Такой сервис сложно настроить или внести в него изменения, поэтому он обойдётся пользователю дороже, чем другие VPN.

9. Hybrid VPN

Сочетает в себе MPLS и iPsec VPN. Некоторые узлы допускают возможность подключения этих протоколов одновременно: таким образом повышается надёжность MPLS. С помощью оборудования iPsec формируется VPN-туннель с зашифрованными данными. Далее iPsec переключается на MPLS, и информация передаётся в точку назначения.

Гибридные VPN стоят дороже других протоколов, но в то же время их можно гибко настроить под свои нужды. Как правило, они используются компаниями, когда MPLS VPN не поддерживается их узлами.

Заметка. Чтобы выбрать протокол, Вы должны понимать, какой тип и уровень безопасности Вам нужен. Если для домашних устройств достаточно PPTP или OpenVPN, то для крупного бизнеса стоит задуматься о более сложных системах.

Цепочки VPN-серверов

Это подключение не через один, а через несколько VPN-серверов. При обычном использовании Ваше устройство передаёт данные на сервер, скажем, расположенный в Канаде — и далее на сайт. С цепочкой серверов Ваши данные будут переданы на сервер в Канаде, потом с этого сервера, например, на сервер в США — и только потом на нужный сайт.

Таким образом данные шифруются надёжнее: вычислить IP пользователя благодаря тому, что используется несколько узлов, будет невозможно. Схемы передачи данных в цепочках бывают двух видов.

– Каскадная

Данные передаются на один сервер, затем на следующий, далее в пункт назначения. Схема проста в использовании и информация передаётся быстро. Но если у хакеров появится доступ к одному из серверов, на которые передаётся инфа, то её могут перехватить, потому что на каждом сервере данные расшифровываются.

Каскадная цепочка
– Сквозная

Этот вариант надёжнее, потому что информация передаётся к конечному VPN-серверу через промежуточные в зашифрованном виде. Правда, скорее всего её придётся настраивать вручную. Такую схему мало кто предлагает, поэтому придётся запускать на устройстве два и более VPN-клиента. Кроме того, сквозная схема существенно замедляет соединение, а у злоумышленников есть возможность получить конечный IP-адрес.

Сквозная цепочка

Как подключить VPN

Теперь разберёмся, как включить vpn на примере топового – VPN Monster. Он работает на десктопе и в мобильном приложении (правда, только для Android).

– На десктопе

Приложение можно скачать на официальном сайте и получить ключ на 7 дней бесплатного периода. После скачивания vpn на компьютер и установки запустите программу и введите код активации. Далее сервис предложит подключиться к VPN.

Подключение к VPN
Шаг 1. Выбор сервера

При подключении программа выбирает сервер автоматически, но если Вас не устраивает скорость подключения или не получается зайти на какие-то сайты, то можно переключиться на другой. Для этого нажмите на три полоски в верхнем левом углу, далее — “Выбор сервера”.

В открытом окне выберите нужный сервер. К примеру, пусть это будет тот, где скорость выше. В нашем случае это Венгрия.

Значок uTorrent рядом со скоростью соединения говорит о том, что этот сервер позволяет использовать расширенные функции. Для удобства избранные серверы можно обозначить звездочкой и они всегда будут наверху списка.

Шаг 2. Настройки

Перейдите в настройки через меню или нажмите на шестеренку в правом верхнем углу. Настройки предлагаются трёх видов; Основные, Соединение и Анонимность. Сейчас мы подробно разберемся в каждых.

Настройки

2.1. Основные

Выберите нужные Вам настройки: например, автозапуск программы при включении компьютера. На всякий случай под каждым параметром есть аннотация. Для примера отметим несколько.

Мы подключились к венгерскому серверу, но при нестабильном подключении серверы можно обновить. Обратите внимание: после обновления скорость подключения может измениться.

2.2. Соединения

Здесь, как и в основных настройках, отметьте нужные.

В случае необходимости можно выбрать протокол с нужными параметрами.

2.3. Анонимность

У всех параметров есть аннотации, поэтому объяснять каждый нет смысла. К примеру, скроем от провайдера факт использования VPN.

На этом настройка закончена: можно пользоваться программой ближайшую неделю. Сервис простой и интуитивно понятный, но если возникнут проблемы или вопросы, есть раздел “Помощь” в меню.

– На мобильном

Здесь всё гораздо проще, поэтому глобально по шагам расписывать не буду. Открываем приложение на смартфоне и нажимаем на запуск.

Запуск приложения

Приложение работает бесплатно (с рекламой), но если она сильно раздражает, то можно подключить 7-дневный премиум-период. Для этого зайдите в меню, нажмите на кнопку Super Monster и выберите нужную позицию.

Подключение тестового периода

Теперь нужно выбрать сервер. Вернитесь на главную страницу и кликните на значок в правом нижнем углу. В открывшемся меню нажмите кнопку “обновить”.

Обновление серверов

Далее выбираем нужное местоположение — например, Нидерланды.

Местоположение сервера

Кстати, приложение предлагает ещё и собственный встроенный браузер.

Встроенный браузер

Законодательное регулирование VPN

Теперь коснусь вопроса, который (возможно) Вас волнует. Наверняка Вы хотя бы краем уха слышали о запрете VPN и анонимайзеров в России и о блокировке некоторых сервисов. Ну и наверное все помнят о попытках заблокировать Telegram.

Так вот, выдохните и расслабьтесь: пользоваться VPN не запрещено. Закон о запрете анонимайзеров, входящий в “пакет Яровой”, запрещает пользоваться впн для перехода на сайты, внесённые в реестр Роскомнадзора. Некоторые сервисы действительно их блокируют. А ещё поисковики могут получать штрафы за выдачу касательно некоторых анонимайзеров.

Главное, что Вам за использование VPN ничего не будет — санкции получают провайдеры, VPN-клиенты и т.д. Ну а так как большинство сервисов зарегистрированы не в России и/или успели перенести свои серверы за границу, то и Ваши данные остаются защищёнными от товарища майора, и скорость соединения существенно не пострадала.

Кстати, заблокированные сайты далеко не всегда содержат противозаконные данные. Многие ресурсы попадают в реестр по ошибке или только из-за одной страницы, так что со временем они могут быть восстановлены. Как говорится, лес рубят — щепки летят. Всего таких доменов сейчас больше 380 (!) тысяч.

Важно. Несмотря на то, что за обход блокировок Вас не накажут, это не касается контента, к которому Вы хотите получить доступ. Поэтому надеюсь на Вашу сознательность.

Советы ПО ИСПОЛЬЗОВАНИЮ

Чтобы использование VPN-сервера шло только на пользу и Вы совершили как можно меньше ошибок, а лучше не совершили их вовсе, вот несколько рекомендаций.

1. Воспользуйтесь бесплатным периодом. Большинство VPN-сервисов платные, но многие из них гарантируют возврат денег в срок от 24 часов до 30 дней. Если Вы хотите протестировать сервис, но боитесь потерять деньги, оплатите за месяц, ознакомьтесь с программой. Если сервис Вас не устроит, отмените подписку, свяжитесь с техподдержкой и Вам вернут деньги.

2. Установите расширение в браузере. Установите VPN-расширение в браузере. Как правило, расширения бесплатны, работают надёжно и дают несколько серверов для подключения на выбор. А в Opera даже не нужно ничего устанавливать: VPN там есть по умолчанию. Единственный нюанс: из-за большой нагрузки на серверы скорость может немного пострадать.

3. Используйте VPN на всех своих устройствах. Большинство сервисов позволяют подключить к VPN несколько устройств. То есть так Вы сможете защитить не только все свои девайсы, но и устройства, например, членов семьи. Удобно!

4. Пользуйтесь несколькими серверами. Если возникли проблемы с VPN-подключением, смените сервер или просто перезагрузите устройство. Чаще всего это решает подобные проблемы. Но если перезагрузка не поможет, то не стесняйтесь написать в техподдержку. В большинстве сервисов она работает круглосуточно.

5. Пользуйтесь альтернативами VPN. Помимо VPN можно пользоваться прокси. Прокси-сервер обеспечивает пользователю конфиденциальность и безопасность в интернете. Отличается от впн он тем, что, во-первых, не зашифровывает данные, а во-вторых, чаще всего собирает информацию о пользователях. Для подключения к прокси-серверу не нужно устанавливать отдельную программу – достаточно найти подходящий сервер (или создать свой) и настроить подключение.

Ещё одно решение — сеть Tor. Она построена по “луковичному” принципу: подключение осуществляется через несколько узлов, для каждого из которых данные зашифровываются отдельно. Серверы выбираются случайным образом. Об уровне безопасности сети говорит то, что Tor используется даже сотрудниками спецслужб, не говоря уже о даркнете. Единственный минус – сеть работает довольно медленно и имеет ряд ограничений: например, не рекомендует (но и не запрещает) скачивать файлы.

Коротко о главном

Итак, теперь мы знаем, что такое VPN и как его настроить. Думаю, Вы поняли, что сейчас без него не обойтись — хотя бы в виде расширения для браузера.

На рынке хватает предложений VPN-сервисов, поэтому каждый может выбрать для себя оптимальный вариант. К сожалению, как и любая технология, VPN имеет ряд недостатков и рисков.

  • Возможна утечка данных при неправильной настройке;
  • Не все сайты поддаются работе через VPN-серверы;
  • В некоторых странах VPN запрещено законом;
  • За хороший сервис VPN придётся платить;
  • У бесплатных программ и расширений нет гарантии об анонимности;
  • VPN может замедлять скорость интернет-соединения.

Как по мне, так плюсы всё-таки перевешивают, и это даже не об обходе блокировок, а о собственной безопасности. Тем более это важно для бизнеса. Тем, кто не хочет заморачиваться с поиском, напомню лучшие VPN-сервисы:

И напоследок — ещё пара статей, которые могут Вам пригодиться (ну или, как минимум, знания не бывают лишними).

Как лицензируется Cisco AnyConnect?

Для версий Cisco AnyConnest 4.0 и выше была изменена схема лицензирования функционала удаленного доступа. На все лицензии типа SSL VPN объявлены даты окончания продаж. В частности это коснется лицензий SSL Premium User Licenses , Advanced Endpoint Assessment Licenses, AnyConnect Essentials VPN Licenses, AnyConnect Mobile VPN Licenses, Premium Shared VPN Server Licenses & Premium Shared SSL VPN Participant Licenses, FIPS Compliant VPN Licenses, VPN Phone Licenses.

В рамках новой схемы предусмотрены три типа лицензий: Cisco AnyConnect Plus Subscription Licenses, Cisco AnyConnect Plus Perpetual Licenses, Cisco AnyConnect Apex Subscription Licenses. Предусмотрены и отдельные лицензии, обеспечивающие миграцию старых типов на новые.

Новые типы лицензий не привязаны к VPN-концентраторам, в качестве которых могут использоваться межсетевые экраны Cisco ASA, маршрутизаторы Cisco ISR G2 и Cisco ASR. Лицензии приобретаются на пользователей, а не на устройство. При покупке лицензии Cisco AnyConnect на определенное количество пользователей, вы получаете возможность генерации ключей активации для неограниченного количества VPN-концентраторов.

Рассмотрим новые типы лицензий подробнее. Cisco AnyConnect Plus Subscription Licenses/Perpetual Licenses позволяют подключать удаленного сотрудника с помощью клиента Cisco AnyConnect. AnyConnect Plus сочетает в себе функционал AnyConnect Essentials и AnyConnect Mobile и обеспечивает возможность подключения как с мобильных, так и со стационарных устройств. Лицензия предусматривает возможность приобретения как в виде подписки на 1,3 или 5 лет, так и в виде постоянной лицензии.

Чтобы иметь возможность скачивать новые версии и пользоваться услугами технической поддержки Cisco TAC необходим сервисный контракт. Лицензии заказываются на определенное количество пользователей (т.е. количество реальных абонентов, пользующихся удаленным подключением). Минимальное число пользователей составляет 25, есть варианты 50, 100, 150 и другие. При необходимости лицензии можно суммировать для увеличения числа пользователей.

Тип лицензии Cisco AnyConnect Apex Subscription Licenses включает в себя все возможности AnyConnect PLUS и кроме того позволяет подключаться через браузер к Cisco ASA, проверять устройства на соответствие политикам безопасности и инструментам криптографии нового поколения. Этот тип можно использовать вместо SSL Premium, Advanced Endpoint Assessment, Premium Shared VPN Server & Premium Shared SSL VPN Participant. Лицензии типа Cisco AnyConnect Apex Subscription Licenses доступны только в виде подписки на 1, 3 или 5 лет и из так же необходимо заказывать на определенное количество пользователей.

Новая схема не привязана к VPN-концентраторам, но для получения доступа к функционалу SSL VPN необходимо ввести лицензионный ключ. После покупки пользователь получает PAK (Product Activation Key), который можно использовать многократно для генерации лицензионных ключей на неограниченное количество устройств.


В рубрику «Решения операторского класса» | К списку рубрик  |  К списку авторов  |  К списку публикаций

УСЛУГИ VPN ОПЕРАТОРОВ СВЯЗИ

А.А. Кузеванов, системный администратор «Р.М.ТЕЛЕКОМ»

Эффективность управления современным предприятием в значительной мере зависит от качества функционирования информационной инфраструктуры. Работа сотрудников из территориально распределенных подразделений в едином информационном пространстве позволяет оптимизировать их взаимодействие, повышать эффективность бизнес-процессов. Однако создание собственной телекоммуникационной сети, объединяющей подобные подразделения предприятия, требует значительных капиталовложений, а ее эксплуатация -существенных непрофильных затрат. Поэтому большим спросом пользуется услуга по организации виртуальной частной сети (Virtual Private Network -VPN) предприятия, которую предлагают все современные операторы связи. Информация в такой сети передается по каналам общего пользования, а необходимая защищенность достигается на уровне протоколов информационного обмена. В настоящей статье рассматриваются основные разновидности VPN и схемы их реализации для пользователя в мульти-сервисной сети связи компании «Р.М.ТЕЛЕКОМ».

Классификация VPN

Существует несколько основных вариантов классификации VPN. Для клиента наиболее значимы следующие факторы:

  • кем поддерживается функционирование VPN;
  • каким образом взаимодействуют сети подразделений предприятия.

По первому признаку разделяют: VPN, поддерживаемые клиентом, и VPN, поддерживаемые оператором.

Если функциональность VPN реализуется на оборудовании клиента, то он берет на себя все издержки, связанные с ее организацией, поддержкой и развитием. Преимущество данного подхода для клиента — в возможности полного контроля над работой виртуальной сети. Необходимость такого контроля может диктоваться политикой информационной безопасности клиента.

Во многих случаях экономически более целесообразно воспользоваться услугой поддержки VPN, предоставляемой оператором, который принимает на себя все вопросы технического и административного обеспечения бесперебойности ее работы. При этом клиент избавляется от необходимости приобретения, настройки и обслуживания телекоммуникационного оборудования, переносит эксплуатационные расходы на оператора. В дальнейшем в статье речь пойдет именно о VPN, организуемых поставщиками услуг.

По второму фактору VPN классифицируются в зависимости от уровня модели взаимодействия открытых систем, на котором происходит информационный обмен между сетями подразделений.

Рассмотрим типовую схему объединения локальных сетей двух удаленных объектов (см. рисунок) Как правило, такие сети представляют собой один или несколько Ethernet-коммутаторов с подключенными оконечными устройствами (компьютерами, серверами, IP-телефонами, точками доступа Wi-Fi и т.д.).

Исходя из решаемой клиентом задачи целесообразным может быть объединение таких сетей в единую пакет-но-коммутируемую сеть. В этом случае создается VPN 2-го, канального, уровня ( Ethernet-VPN). Логика работы подобной VPN такова, что она предстает «виртуальным коммутатором», функционально неотличимым от обычного пакетного коммутатора. Поэтому после подключения локальных сетей в пограничное VPN-оборудование происходит «прозрачная» передача Ethernet-фреймов из одной сети в другую.

Другим вариантом объединения сетей является использование на их границе маршрутизаторов, которые могут выполнять расширенные — по сравнению с коммутаторами — функции, например: фильтрация трафика для обеспечения информационной безопасности и повышение эффективности использования доступной полосы пропускания. В этом случае создается VPN 3-го, сетевого, уровня (IP-VPN), в которой выполняется передача только IP-пакетов, без передачи Ethernet-фреймов в целом, что дополнительно повышает эффективную пропускную способность VPN.

В IP-VPN пограничные маршрутизаторы клиента и оператора взаимодействуют с помощью одного из протоколов динамической маршрутизации, таких, как OSPF, RIP, BGP (либо используются статические маршруты). В обмене участвуют лишь IP-префиксы, принадлежащие данному клиенту, «перекрестный» трафик между сетями разных VPN невозможен (чем и обеспечивается их «частный» характер). Клиенты вправе использовать произвольные диапазоны IP-адресов, в том числе пересекающиеся с диапазонами адресов других клиентов. С точки зрения клиента, операторская сеть предстает в виде пары маршрутизаторов, соединенных между собой каналом связи «точка — точка», внутренняя же структура сети оператора, а также подключения других клиентов в этой схеме, как и в предыдущей, скрыты (см. рисунок).

Таким образом, оба варианта услуги (IP-VPN и Ethernet-VPN) в равной степени обеспечивая информационную безопасность клиента, предоставляют разные опции взаимодействия его локальных сетей: от практически полного стирания логических границ между ними (Ethernet-VPN) до максимально управляемой и масштабируемой IP-сети (IP-VPN). Выбор оптимального решения остается за клиентом.

Практика предоставления услуг VPN

«Р.М.ТЕЛЕКОМ» является оператором мультисервисной телекоммуникационной сети и предоставляет своим клиентам — наряду с услугами доступа в Интернет, телефонной свяи и видеоконференц-связи — услуги организации VPN обоих описанных выше типов.

В основе сети связи лежит протокол IP, работающий во взаимоувязанных коммутируемых Ethernet-сегментах, развернутых на широкой сети оптических и радиорелейных линий связи. Используются радиорелейные станции WOCCOM DGM с Ethernet-интерфейсом, что позволяет включать их, как и оптические каналы связи, непосредственно в коммутаторы, обеспечивая тем самым возможность создания непрерывного пакетно-коммути-руемого домена.

При такой организации сети высокая отказоустойчивость ее работы достигается за счет применения быстродействующего протокола динамической смены канальной топологии сети RSTP в условиях высокой степени связности ее узлов. Решение опережает в работе средства динамической IP-маршрутизации, в частности, применяемый протокол OSPF, задача которого в такой схеме сводится по преимуществу к распространению информации о доступности IP-сетей.

Отказоустойчивая опорная сеть позволяет обеспечить также отказоустойчивость и предоставляемых на ее базе сетевых услуг.

Физической точкой доступа к VPN-услуге является Ethernet-интерфейс, предоставляемый оператором на месте расположения объекта заказчика. В случае VPN 3-го уровня IP-параметры настройки этого интерфейса выбираются клиентом исходя из используемой им схемы адресации. Чаще всего для этого применяют так называемые приватные адреса, специально выделенные для изолированных сетей. Задача маршрутизации, как правило, успешно решается путем настройки статических маршрутов; такая схема наиболее стабильна. В ситуациях, когда клиенту требуется динамический характер обмена маршрутной информацией между объектами сети, возможно использование общепринятого для таких случаев протокола BGP.

Для организации VPN 2-го уровня со стороны оператора применяется то же оборудование, физическая схема подключения остается неизменной, однако на этот раз порт становится «прозрачным» для Ethernet-фреймов клиента. При этом наиболее логично подсоединить к нему непосредственно коммутатор локальной сети. При необходимости включается поддержка протокола STP, что делает реальной автоматическую поддержку альтернативных каналов связи, работающих в режиме «горячего» резервирования. Для эффективного использования пропускной способности VPN-канала возможна фильтрация передаваемого трафика по MAC-адресам фреймов, который ограничивается пределами локальной сети данного объекта и не передается в VPN-канал.

Поддерживаются и более сложные клиентские сети, построенные с использованием технологии виртуальных локальных сетей (VLAN). В таком случае к оборудованию оператора напрямую подключается транк-интер-фейс коммутатора (инкапсуляция IEEE 802.1Q). Трафик всех VLAN «прозрачным» образом «пробрасывается» на удаленную точку также с транк-интерфейсом. Предусмотрены конфигурации, в которых трафик некоторого подмножества VLAN передается на одну точку, а другого — на другую.

Эти возможности позволяет легко реализовать в Ethernet-VPN как полносвязную или частично связную топологию клиентской сети, так и традиционную топологию «звезда», подходящую для иерархичных клиентских сетей.

В условиях повсеместного перехода телефонии на использование в качестве транспорта IP-сетей важным является обеспечение приоритетной передачи голосового трафика. В соответствии с современным подходом к решению этой задачи (DiffServ) такие пакеты помечаются определенным значением поля DSCP заголовка IP-пакета. Причем существенно, чтобы отработка приоритета выполнялась на каждом промежуточном устройстве в сети, в том числе и на части VPN, проходящей по сети оператора. По соглашению между оператором и клиентом клиент помечает трафик, требующий преимущественной передачи, а оператор «доверяет» этой маркировке и отрабатывает соответствующий трафик как приоритетный, чем достигается полная эффективность системы обеспечения качества корпоративных интерактивных сервисов (QoS) на всей сети клиента.

Для предоставления услуг доступа в Интернет и телефонии может быть задействовано то же каналооб-разующее оборудование оператора. Для передачи этого трафика по выбору клиента либо выделяется отдельный физический порт, либо на используемом для VPN-трафика интерфейсе (независимо от типа VPN) устанавливается дополнительный IP-адрес для выхода в Интернет, а для обеспечения телефонной связи — шлюз, к которому подключается локальная мини-АТС или телефонные аппараты.

Описанные возможности услуг VPN, предлагаемых в сети «Р.М.ТЕЛЕКОМ», показывают, что применение современных технологий построения таких сетей позволяет сделать сервис максимально удобным для клиента: их можно использовать как по принципу «включись и работай», так и сообразно с потребностями клиента реализовать сложное техническое решение стоящей перед заказчиком задачи.

Опубликовано: Журнал «Технологии и средства связи» #6, 2006
Посещений: 14619

Статьи по теме

В рубрику «Решения операторского класса» | К списку рубрик  |  К списку авторов  |  К списку публикаций


IPSec VPN-туннель на маршрутизаторах Moxa

Инструкция по настройке соединения между двумя подсетями через маршрутизаторы EDR-810-VPN-2GSFP.

Для организации защищенного канала связи между двумя удаленными подсетями необходимо настроить VPN-туннель. В данной инструкции рассматривается пример построения IPsec VPN-туннеля между двумя маршрутизаторами EDR-810-VPN-2GSFP.

Рисунок 1 «Схема сети»

В таблице 1 указана адресация всей системы, согласно которой будем настраивать оборудование.

Таблица 1 «Адресация сети»

xxx.xxx.xxx.xxx – основной шлюз WAN сети зависит от построения системы или выдается провайдером связи. В примере на рисунке 1 – соединение между маршрутизатором сети А и В прямое, поэтому шлюз указывать не нужно.

Все настройки маршрутизаторов осуществляются через web-интерфейс.

По умолчанию маршрутизаторы EDR-810-VPN-2GSFP имеют следующие параметры:

IP-адрес: 192.168.127.254

Логин: admin

Пароль: moxa

В целях безопасности рекомендуется изменить данные для входа.

После внесения любых изменений в настройки маршрутизатора необходимо нажимать кнопку Apply для сохранения изменений. 

1. Настройка Маршрутизатора А

1.1. Настройка LAN-интерфейса

IP-адрес и маска подсети (согласно Таблице 1) задаются в разделе Network – Interface — LAN

1.2. Настройка WAN-интерфейса

Маршрутизатор EDR-810 имеет 10 портов, каждый из которых можно назначить LAN или WAN-интерфейсом. Поэтому прежде, чем задавать адресацию на WAN-интерфейсе, нужно установить порты, которые будут относиться к WAN. Для этого необходимо поместить их в отдельную VLAN.

VLAN настройки осуществляются в разделе Layer 2 Functions — Virtual LAN — VLAN Settings.

Порты 7 и 8 маршрутизатора будут относиться к WAN-интерфейсу. На этих портах указываем VLAN ID 2. 

Когда отдельная VLAN для WAN-портов создана, можно перейти к назначению адресации.

  • Адресация WAN-интерфейса

В разделе Network – Interface – WAN назначается IP-адрес, маска сети и шлюз по умолчанию согласно Таблице 1. 

1.3. Настройка NAT

Для того чтобы маршрутизатор подменял адреса локальной сети на внешний адрес при передаче во внешнюю сеть, необходимо настроить NAT в разделе NAT — NAT Setting

1.4. Настройка даты и времени

Для выполнения корректного соединения между VPN-сервером и VPN-клиентом необходимо, чтобы маршрутизаторы были синхронизированы в настройках даты и времени.  

Настройка системного времени осуществляется в разделе System — Date and Time.

Можно осуществить синхронизацию локальную или по протоколу SNTP. 

2. Настройка Маршрутизатора В

Для настройки Маршрутизатора В необходимо повторить шаги 1.1 – 1.4, указывая параметры в соответствии с Таблицей 1. 

3. Настройка VPN-туннеля

3.1. Активация VPN-соединения

На каждом маршрутизаторе нужно активировать VPN-туннель в разделе VPN – IPSecGlobal Setting.

Также в этом разделе включается NAT для данных, передаваемых в туннеле и логирование системной информации об установлении туннеля (может понадобиться для отладки VPN-соединения)

3.2.  Предустановка сертификатов безопасности

Аутентификация при установке IPSec VPN-туннеля может осуществляться с помощью ключа безопасности (пароля), но это не самый безопасный вариант. Рекомендуем использовать сертификаты безопасности для аутентификации.

Сгенерировать сертификаты безопасности можно с помощью различных программ, а также можно создать их на самом маршрутизаторе. 

  • Создание сертификата безопасности

В разделе Certificate Management — CA Server — Certificate Create нужно выполнить несколько шагов: 

‒ Заполнить таблицу Certificate Request, нажать кнопку Apply

‒ Заполнить таблицу Certificate Setting, нажать кнопку Add и затем Apply

‒ Сгенерировать и выгрузить сертификат с помощью кнопки PKCS#12 Export (необходимо время на создание файла с сертификатом, затем нужно будет повторно нажать кнопку PKCS#12 Export)

Нужно создать сертификаты на каждом маршрутизаторе в соответствии с таблицей 2.

Таблица 2 «Сертификаты безопасности»

  • Загрузка сертификаты на маршрутизатор

Оба сертификата нужно загрузить на каждый маршрутизатор в раздел Certificate ManagementLocal Certificate

3.3.  Настройка параметров VPN-соединения

В разделе VPNIPSecIPSec Setting нужно осуществить расширенные настройки (Advanced Setting).

  • Маршрутизатор А – VPN-клиент.

Маршрутизатор А будет инициировать VPN-соединение. То есть режим работы устанавливается как Start in initial

 

Даже если аутентификация осуществляется с помощью сертификатов безопасности, нужно сначала установить пароль для предустановленного ключа (Preshared Key).

Затем нужно выбрать режим аутентификации Х.509 и два загруженных сертификата.

На маршрутизаторе А локальным сертификатом будет сертификат СА-1, а удаленным – СА-2

  • Маршрутизатор В – VPN-сервер.

VPN-сервером будет Маршрутизатор В, поэтому он будет ожидать подключения. Устанавливается режим работы Wait connecting

На маршрутизаторе B локальным сертификатом будет сертификат СА-2, а удаленным – СА-1

3.4.  Настройка устройств в локальных сетях

На устройствах в локальных сетях необходимо указать основной шлюз – LAN адрес маршрутизатора в соответствии с Таблицей 1.

Для локальной сети А: 192.168.127.1

Для локальной сети В: 172.16.126.1

3.5.  Диагностика VPN-соединения

После выполнения вышеуказанных настроек на двух маршрутизаторах будет установлено VPN-соединение. В разделе VPNIPSec — IPSec Status появится запись об установленном VPN-туннеле.

   

Кроме того, при успешном установлении VPN-туннеля на маршрутизаторе загорится индикатор VPN.  

Если соединение не устанавливается, то необходимо проверить корректность установки в разделе Monitor — Event Log

Подключение VPN уровня 3 к цепям уровня 2 | Руководство пользователя VPN уровня 3 для устройств маршрутизации

 user @ PE3>  show route table mpls.0 
mpls.0: 21 пункт назначения, 21 маршрут (21 активный, 0 удерживаемых, 0 скрытых)
+ = Активный маршрут, - = последний активный, * = оба

0 * [MPLS / 0] 1w3d 05:29:02, метрика 1
                      Получать
1 * [MPLS / 0] 1w3d 05:29:02, метрика 1
                      Получать
2 * [MPLS / 0] 1w3d 05:29:02, метрика 1
                      Получать
16 * [VPN / 0] 12:22:45
                      в таблицу L3VPN.inet.0, Pop
315184 * [LDP / 9] 12:45:14, метрика 1
                    > до 10.10.20.1 через xe-2/0 / 0.0, Pop
315184 (S = 0) * [LDP / 9] 12:45:14, метрика 1
                    > до 10.10.20.1 через xe-2/0 / 0.0, Pop
315200 * [LDP / 9] 00:03:53, метрика 1
                    > до 10.10.20.1 через xe-2/0 / 0.0, поменять местами 625297
                      на 10.10.6.2 через xe-2/1 / 0.0, поменять местами 299856
315216 * [LDP / 9] 12:45:14, метрика 1
                    > до 10.10.6.2 через xe-2/1 / 0.0, Pop
315216 (S = 0) * [LDP / 9] 12:45:14, метрика 1
                    > до 10.10.6.2 через xe-2/1 / 0.0, Pop
315232 * [LDP / 9] 12:45:06, метрика 1
                    > до 10.10.1.1 через xe-2/3 / 0.0, Pop
315232 (S = 0) * [LDP / 9] 12:45:06, метрика 1
                    > до 10.10.1.1 через xe-2/3 / 0.0, Pop
315248 * [LDP / 9] 12:45:14, метрика 1
                    > до 10.10.5.1 через xe-2/2 / 0.0, Pop
315248 (S = 0) * [LDP / 9] 12:45:14, метрика 1
                    > до 10.10.5.1 через xe-2/2 / 0.0, Pop
  315264  * [L2CKT / 7] 11:11:20
                    > через lt-1/1 / 10.0,  Pop 
315312 * [RSVP / 7] 11:26:01, показатель 1
                    > до 10.10.6.2 через xe-2/1 / 0.0, путь с коммутацией меток к pe5
315312 (S = 0) * [RSVP / 7] 11:26:01, показатель 1
                    > до 10.10.6.2 через xe-2/1 / 0.0, путь с коммутацией меток к pe5
315328 * [RSVP / 7] 11:26:01, показатель 1
                    > до 10.10.20.1 через xe-2/0/0.0, путь с коммутацией меток к-RR
315360 * [RSVP / 7] 11:26:01, показатель 1
                    > до 10.10.20.1 через xe-2/0 / 0.0, путь с коммутацией меток к-RR
316208 * [RSVP / 7] 00:03:32, метрика 1
                    > до 10.10.6.2 через xe-2/1 / 0.0, обход пути с коммутацией меток-> 10.10.9.1
316208 (S = 0) * [RSVP / 7] 00:03:32, показатель 1
                    > до 10.10.6.2 через xe-2/1 / 0.0, обход пути с коммутацией меток-> 10.10.9.1
  lt-1/1 / 10.0  * [L2CKT / 7] 11:11:20, метрическая2 1
                    > до 10.10.5.1 через xe-2/2 / 0.0, нажмите  301488 
 

Управляемые схемы VPN | dcnet

DC-Net MPLS VPN-сервисы сети передачи данных для государственных органов обеспечивают управляемую безопасную связь с диапазоном скоростей доступа от 2 Мбит / с до 1 Гбит / с и стоимостью, соответствующей бюджету вашего агентства. Эта государственная услуга включает в себя круглосуточный мониторинг и поддержку сети в режиме 24 x 7 x 365, а также соглашение об уровне обслуживания (SLA) качества обслуживания (QoS).

С помощью управляемой службы VPN (виртуальная частная сеть) ваш трафик защищен и отделен от трафика других клиентов в сети с помощью туннелирования VPN.

Услуги

VPN обеспечивают мониторинг качества данных и приоритизацию, гарантируя, что критически важные приложения в реальном времени, такие как голос и видео, помещаются в очередь первыми. Это также дешевле, чем традиционные выделенные линии или серверы удаленного доступа.

Особенности и преимущества

  • Множественный доступ и скорости портов — услуги VPN предлагают скорости канала 10 Мбит / с, 50 ​​Мбит / с, 100 Мбит / с и 1 Гбит / с с шагом 10 Мбит / с и 100 Мбит / с
  • Двусторонние пути с разными маршрутами; встроенная система аварийного восстановления
  • Доступ и транспорт включены в цену
  • Выделенный круглосуточный мониторинг сети и поддержка клиентов
  • Приоритезация конфиденциальных данных в реальном времени; гарантированное качество обслуживания и доставка пакетов для любого трафика (включая VoIP)
  • Продемонстрировано 99.999 процентов времени безотказной работы сети; производительность и доступность сети, поддерживаемые SLA
  • Подключение к Интернету
  • Безопасная государственная сеть
  • Прямое подключение к правительственным центрам обработки данных, службам и ресурсам округа для государственных заказчиков округа
  • Прямое подключение к отелям-операторам, доступным общедоступным и частным точкам пиринга для межсетевого взаимодействия и удаленного хранения / восстановления данных
  • Частное подключение к другим районным органам власти и якорям сообщества в сети
  • Магистраль Metro Ethernet со скоростью основного кольца 10 Гбит / с, магистраль OC-48 SONET с аварийным переключением менее 50 мс и архитектурный дизайн, позволяющий легко расширять площадку.
  • Цены ниже, чем у поставщиков коммерческих услуг

Технический обзор

Услуги

DC-Net VPN обеспечивают безопасную и надежную транспортировку критически важных приложений через высокоскоростную магистральную IP-инфраструктуру. В сети используются ведущие в отрасли протоколы коммутации и маршрутизации, в первую очередь протокол многопротокольной коммутации по меткам (MPLS). MPLS увеличивает производительность и устойчивость; включая возможность назначать гарантии производительности для каждого туннеля VPN.

Наши магистральные оптоволоконные кольца городских сетей работают по протоколу технологии синхронных оптических сетей (SONET), поддерживающему совокупную скорость 2.5 Гбит / с. В протоколе используется технология Resilient Packet Ring (RPR), которая обеспечивает распределение нагрузки и защиту пути между избыточными оптоволоконными маршрутами. Автоматическое переключение при отказе в случае обрыва волокна или отказа электроники происходит в течение 50 мс, не влияя на трафик клиентов.

На удаленных сайтах виртуальные локальные сети (VLAN) используются для идентификации наборов устройств (компьютеров, телефонов, видеоконференцсвязи) как имеющих доступ к определенному каналу связи и определенному типу доступа.

Агентский трафик проходит через VPN-соединения между удаленными сайтами клиентов на кольцах доступа, главным офисом и центром обработки данных OCTO. Удаленные узлы имеют полностью резервированное оптоволокно от узла к магистрали, по которой передается трафик Ethernet. В узлах оптоволоконного кольца Metro Ring DC-Net этот канал связи подключен к туннелю VPN для прохождения магистрали SONET к центрам обработки данных и / или другому месту, например, главному офису. Metro Rings полностью оптоволоконный и имеет полное резервирование физического тракта.

Circuit VPN: идеальное решение для беспроблемного просмотра страниц

Вас раздражает медленный интернет-сервис? Или вы знаете, что третьи стороны отслеживают вашу онлайн-активность? Если вы хотите узнать, как превзойти медленный интернет-сервис и скрыть свою активность в браузере, загрузите VPN прямо сейчас.

Все знают, что касается конфиденциальности. Никто не позволяет другим следить за нашими делами. Но если вы просматриваете страницы без VPN, вы даете компаниям по добыче данных возможность подключиться к вашей информации в частном порядке и прокручивать ее каждую секунду без вашего ведома.В наши дни, когда вы связаны с технологиями, вы обязаны обезопасить себя от действий других. Технологические компании продают ваши данные тем, кто предлагает высокие ставки; иногда эти покупатели — хакеры, воры и мошенники.

Если вы не используете виртуальную частную сеть, значит, вы поступаете неправильно. VPN становится жизненно важной потребностью для всех нас, поскольку обеспечивает конфиденциальность в Интернете и защищает личность во всех сетевых подключениях. Использование лучшего поставщика услуг VPN помогает устанавливать зашифрованные соединения.Таким образом, никто не может следить за вашими действиями в Интернете.

Подключение к геоблокированным сайтам

Вы могли заметить, что не можете получить доступ к нескольким сайтам, таким как Netflix. В некоторых странах у них нет права доступа ко всей библиотеке Netflix. Предположим, вы ищете за границей определенные фильмы и телепрограммы для просмотра, но они недоступны из-за соглашений об авторском праве. С помощью VPN вы можете легко разблокировать контент из другой страны, переключая IP-адреса.

Однако использование виртуальной частной сети позволяет вам свободно искать свой любимый контент и фильмы.

Спасите свой IP-адрес

Когда вы скрываете свой адрес Интернет-протокола, это помогает предотвратить отслеживание данных. Каждый требует конфиденциальности; ношение маски на IP-адресе затрудняет отслеживание ваших действий третьими лицами. Использование лучшего поставщика услуг VPN, такого как Circuit VPN, обеспечивает шифрование и безопасность ваших данных даже от ваших интернет-провайдеров.

Таким образом, с помощью VPN вы с комфортом можете наслаждаться потоковой передачей, сохраняя частный физический адрес.

Безопасное подключение к общедоступной сети Wi-Fi

Совместное использование личных данных и электронной почты в общедоступных сетях не обеспечивает защиту и безопасность ваших данных.Если вы используете общедоступный Wi-Fi для телеконференции с семьей и друзьями, вы не хотите, чтобы кто-либо отслеживал ваши разговоры в частном порядке. После того, как вы подключитесь к VPN, а затем подключитесь к общедоступному Wi-Fi, весь ваш разговор будет зашифрован.

Виртуальные частные сети позволяют вам наслаждаться каждым моментом просмотра веб-страниц под защитой закона, поэтому вы можете безопасно подключаться к общедоступной сети Wi-Fi в любом отеле или кафе.

Заблокируйте свой просмотр в Интернете

Вы хотите просматривать различные веб-сайты и безопасно получать доступ к ограниченному контенту? Возможно — да.Поскольку VPN обеспечивает высочайший уровень безопасности для свободного доступа к тысячам веб-сайтов. VPN скрывает ваш IP-адрес, поэтому вы сохраняете безопасность в Интернете без истории и журналов. С помощью VPN вы можете наслаждаться любимым контентом и безопасно просматривать веб-страницы без ограничений.

Виртуальная частная сеть дает вам возможность подключаться к веб-сайтам со всего мира, сохраняя конфиденциальность просмотра.

Пройдите цензуру

Несколько стран известны тем, что осуществляют цензуру в Интернете.Такие страны никогда не дают своим гражданам возможности связываться с различными сайтами. Например, в некоторых регионах правительство ограничивает доступ пользователей к западным приложениям, веб-сайтам и социальным сетям. Если вы живете в такой стране, активируйте свою учетную запись VPN, чтобы избавиться от проблем с цензурой.

В конце концов, VPN может помочь изменить IP-адрес, чтобы можно было свободно транслировать все выбранные вами сайты.

Избегайте подключения дроссельной заслонки во время игры

Иногда интернет-провайдеры (поставщики интернет-услуг), которые имеют право контролировать сетевые соединения, намеренно снижают скорость вашего интернета.С помощью VPN вы можете легко избежать удушения и наслаждаться онлайн-играми с безупречной скоростью.

Таким образом, использование лучшего VPN поможет вам устранить все препятствия, которые влияют на ваши действия в Интернете, игры и регулирование скорости передачи данных.

Использовать VPN на нескольких устройствах

Если вы считаете, что использование учетной записи VPN — это рентабельный процесс, вам необходимо рассмотреть предлагаемые ими пакеты. И как только вы активируете свою учетную запись, у вас есть законное право использовать ее на нескольких устройствах, таких как офисные ноутбуки, компьютеры, домашние сотовые телефоны и многие другие устройства.С помощью VPN вы можете защитить каждое устройство и наслаждаться конфиденциальной и безопасной потоковой передачей онлайн.

Использование Circuit VPN позволяет подключать 6 устройств к одной учетной записи для защиты всей вашей ценной информации.

Непрерывная потоковая передача с максимальной скоростью подключения

Люди хотят смотреть онлайн-трансляции, чтобы расслабить разум и избавиться от стресса. Когда вы начинаете прокручивать вниз и буферизовать видео, замедляете видео, это звучит как убийца настроения. VPN позволяет пользователям просматривать веб-страницы со сверхбыстрым подключением и даже предлагает безупречную потоковую передачу в любое время и в любом месте.

Тем не менее, VPN действует как защитный туннель, обеспечивающий непрерывный просмотр с премиальной скоростью Интернета.

Завершение

В конце концов, можно сказать, что VPN — лучший инструмент, обеспечивающий безопасность ваших данных. Более того, виртуальные частные сети защищают данные от технологических компаний, хакеров и мошенников. Люди, которые любят и предпочитают схему конфиденциальности VPN, являются для них надежным выбором, который также увеличивает скорость интернета. Используя VPN, вы носите маску на своем IP-адресе, не позволяя другим следить за вашей историей просмотров.

Что такое VPN? Определение из SearchNetworking

Что такое VPN?

VPN (виртуальная частная сеть) — это служба, которая создает безопасное зашифрованное онлайн-соединение. Пользователи Интернета могут использовать VPN, чтобы обеспечить себе большую конфиденциальность и анонимность в Интернете или обойти блокировку и цензуру по географическому признаку. По сути, виртуальные частные сети расширяют частную сеть через общедоступную сеть, что должно позволить пользователю безопасно отправлять и получать данные через Интернет.

Обычно VPN используется в менее защищенной сети, такой как общедоступный Интернет.Провайдеры интернет-услуг (ISP) обычно имеют довольно много информации о деятельности клиента. Кроме того, некоторые незащищенные точки доступа Wi-Fi (AP) могут быть удобным способом для злоумышленников получить доступ к личным данным пользователя. Пользователь Интернета может использовать VPN, чтобы избежать этих посягательств на конфиденциальность.

VPN

можно использовать, чтобы скрыть историю браузера пользователя, IP-адрес и географическое положение, активность в Интернете или используемые устройства. Никто в той же сети не сможет увидеть, что делает пользователь VPN.Это делает VPN незаменимым инструментом для обеспечения конфиденциальности в Интернете.

VPN использует протоколы туннелирования для шифрования данных на отправляющей стороне и дешифрования их на принимающей стороне. Сетевые адреса отправителя и получателя также зашифрованы, чтобы обеспечить лучшую безопасность онлайн-активности.

Приложения

VPN часто используются для защиты передачи данных на мобильных устройствах. Их также можно использовать для посещения веб-сайтов, которые ограничены местоположением. Однако безопасный доступ через мобильный VPN не следует путать с приватным просмотром.Приватный просмотр не требует шифрования; это просто необязательная настройка браузера, которая предотвращает сбор идентифицируемых пользовательских данных.

Как работают VPN?

На самом базовом уровне туннелирование VPN создает соединение точка-точка, к которому не могут получить доступ неавторизованные пользователи. Для создания туннеля в существующих сетях используется протокол туннелирования. Разные VPN будут использовать разные протоколы туннелирования, такие как OpenVPN или Secure Socket Tunneling Protocol (SSTP).Используемый протокол туннелирования может зависеть от платформы, на которой используется VPN, например SSTP, используемого в ОС Windows, и будет обеспечивать шифрование данных с разной степенью защиты. На конечном устройстве должен быть запущен клиент VPN (программное приложение) локально или в облаке. Клиент будет работать в фоновом режиме. Клиент VPN не заметен для конечного пользователя, если он не создает проблем с производительностью.

Используя VPN-туннель, устройство пользователя будет подключаться к другой сети, скрывая свой IP-адрес и шифруя данные.Это то, что скроет личную информацию от злоумышленников или других лиц, надеющихся получить доступ к действиям человека. Туннель соединит устройство пользователя с выходным узлом в другом удаленном месте, что создает впечатление, что пользователь находится в другом месте.

VPN

связывают историю поиска пользователя с IP-адресом сервера VPN. Сервисы VPN будут иметь серверы, расположенные в разных географических областях, поэтому будет выглядеть так, как будто пользователь может быть из любого из этих мест.

Виртуальные частные сети

могут влиять на производительность разными способами, например, на скорость интернет-соединений пользователей, типы протоколов, которые может использовать провайдер VPN, и тип используемого шифрования.На предприятии на производительность также может влиять низкое качество обслуживания (QoS), не зависящее от отдела информационных технологий (ИТ) организации.

Аварийный выключатель — это последнее средство безопасности в некоторых продуктах VPN. Если VPN-соединение прерывается, аварийный выключатель автоматически отключит устройство от Интернета, чтобы исключить возможность раскрытия IP-адреса.

Существует два типа аварийных выключателей:

  1. Активные протоколы аварийного отключения предотвращают подключение устройств к небезопасным сетям, когда устройство подключено к VPN.Помимо сбоев сервера, он отключен, когда не подключен к VPN.
  2. Протоколы пассивного аварийного отключения более безопасны. Они не позволяют устройству подключаться к соединениям, отличным от VPN, даже когда оно отключено от сервера VPN.

Для чего используются VPN? VPN

используются для обеспечения виртуальной конфиденциальности как обычными пользователями Интернета, так и организациями. Организации могут использовать VPN, чтобы убедиться, что внешние пользователи, которые получают доступ к их центрам обработки данных, авторизованы и используют зашифрованные каналы.VPN также можно использовать для подключения к базе данных той же организации, расположенной в другой области.

VPN

также можно использовать для предоставления удаленным сотрудникам, фрилансерам и бизнес-путешественникам доступ к программным приложениям, размещенным в проприетарных сетях. Чтобы получить доступ к ограниченному ресурсу через VPN, пользователь должен быть авторизован для использования виртуальной частной сети и предоставить один или несколько факторов аутентификации. Это могут быть пароли, токены безопасности или биометрические данные.

При серфинге в Интернете злоумышленник может получить доступ к информации, в том числе о привычках просмотра или IP-адресе. Если конфиденциальность является проблемой, VPN может обеспечить пользователям спокойствие. Шифрование, анонимность и возможность обходить географически заблокированный контент — вот что большинство пользователей считает ценным в VPN.

Например, возможность обойти заблокированный контент из другой страны может быть чрезвычайно полезна для журналистов. Например, если страна может блокировать интернет-контент от иностранных организаций, журналисты могут использовать VPN, чтобы выглядеть так, как будто они находятся в этой стране.

Протоколы VPN Протоколы VPN

обеспечивают соответствующий уровень безопасности подключенных систем, когда сама сетевая инфраструктура не может этого обеспечить. Для защиты и шифрования данных можно использовать несколько различных протоколов. К ним относятся следующие:

  • IP-безопасность (IPsec)
  • Уровень защищенных сокетов (SSL) и безопасность транспортного уровня (TLS)
  • Протокол туннелирования точка-точка (PPTP)
  • Протокол туннелирования уровня 2 (L2TP)
  • OpenVPN

Преимущества и проблемы использования VPN

Преимущества использования VPN:

  • возможность скрыть IP-адрес пользователя и историю просмотров;
  • безопасных соединений с зашифрованными данными;
  • обход геоблокированного контента; и
  • , что затрудняет для рекламодателей нацеливание рекламы на частных лиц.

Однако при использовании VPN возникают следующие проблемы:

  • Не все устройства могут поддерживать VPN.
  • VPN
  • не защищают от всех угроз.
  • Платные VPN — это более надежные и безопасные варианты.
  • VPN может снизить скорость интернета.
  • Анонимность через VPN имеет некоторые ограничения — например, отпечатки пальцев браузера все еще можно сделать.

Любое устройство, которое получает доступ к изолированной сети через VPN, представляет риск попадания вредоносного ПО в эту сетевую среду — если в процессе подключения VPN не требуется оценка состояния подключаемого устройства.Без проверки на соответствие подключаемого устройства политикам безопасности организации злоумышленники с украденными учетными данными могут получить доступ к сетевым ресурсам, включая коммутаторы и маршрутизаторы.

Помимо VPN, эксперты по безопасности рекомендуют сетевым администраторам рассмотреть возможность добавления компонентов программно определяемого периметра (SDP) в свою инфраструктуру защиты VPN, чтобы уменьшить потенциальные поверхности для атак. Добавление программирования SDP дает средним и крупным организациям возможность использовать модель с нулевым доверием для доступа как к локальным, так и к облачным сетевым средам.

Типы VPN

У сетевых администраторов есть несколько вариантов развертывания VPN, в том числе следующие.

VPN с удаленным доступом

Клиенты удаленного доступа подключаются к серверу шлюза VPN в сети организации. Шлюз требует, чтобы устройство аутентифицировало свою личность перед предоставлением доступа к внутренним сетевым ресурсам. Этот тип обычно использует IPsec или SSL для защиты соединения.

VPN типа «сеть-сеть»

В отличие от этого, VPN типа «сеть-сеть» использует устройство шлюза для подключения всей сети в одном месте к сети в другом месте. Устройства конечных узлов в удаленном месте не нуждаются в клиентах VPN, потому что шлюз обрабатывает соединение. Большинство сетей VPN типа «сеть-сеть», подключающихся через Интернет, используют IPsec. Они также часто используют соединения с мультипротокольной коммутацией по меткам (MPLS), а не общедоступный Интернет в качестве транспорта для сетей VPN типа «сеть-сеть».Возможно подключение уровня 3 (MPLS IP VPN) или уровня 2 (услуга виртуальной частной локальной сети) через базовые транспортные каналы.

Мобильный VPN

В мобильной VPN сервер по-прежнему находится на границе сети организации, обеспечивая безопасный туннельный доступ для аутентифицированных и авторизованных клиентов. Однако мобильные VPN-туннели не привязаны к физическим IP-адресам. Вместо этого каждый туннель привязан к логическому IP-адресу. Этот логический IP-адрес остается для мобильного устройства.Эффективная мобильная VPN обеспечивает непрерывное обслуживание пользователей и может переключаться между технологиями доступа и несколькими общедоступными и частными сетями.

Аппаратный VPN
Аппаратные VPN

обладают рядом преимуществ по сравнению с программными VPN. Помимо обеспечения повышенной безопасности, аппаратные VPN могут обеспечивать балансировку нагрузки для больших клиентских нагрузок. Администрирование осуществляется через интерфейс веб-браузера. Аппаратный VPN дороже, чем программный. Из-за стоимости аппаратные VPN более жизнеспособны для крупных предприятий.Некоторые производители предлагают устройства, которые могут работать как аппаратные VPN.

Устройство VPN

Устройство VPN, также известное как устройство шлюза VPN , представляет собой сетевое устройство с расширенными функциями безопасности. Также известный как устройство SSL VPN , это маршрутизатор, который обеспечивает защиту, авторизацию, аутентификацию и шифрование для сетей VPN.

Динамическая многоточечная виртуальная частная сеть (DMVPN)

DMVPN обменивается данными между сайтами без необходимости проходить через VPN-сервер или маршрутизатор головного офиса организации.DMVPN создает ячеистую службу VPN, которая работает на маршрутизаторах VPN и концентраторах межсетевых экранов. На каждом удаленном сайте есть маршрутизатор, настроенный для подключения к устройству (концентратору) штаб-квартиры компании, обеспечивая доступ к доступным ресурсам. Когда два луча необходимы для обмена данными между собой — например, для телефонного звонка по протоколу IP (VoIP), — лучевое устройство свяжется с концентратором, получит необходимую информацию о другом конце и создаст динамический туннель IPsec VPN. прямо между ними.

Поставщики и продукты VPN Услуги

VPN доступны как в платных, так и в бесплатных вариантах.Однако платные варианты от поставщиков, как правило, рекомендуются чаще, чем бесплатные. Некоторые поставщики VPN, среди многих, включают следующие:

  • NordVPN содержит мощный набор функций безопасности с большим набором серверов. NordVPN имеет такие функции, как подключение к браузеру Tor для анонимного веб-серфинга, при этом сохраняя твердую позицию в отношении конфиденциальности клиентов.
  • Частный доступ в Интернет VPN — это приложение для iOS и Android, которое может поддерживать до 10 различных одновременных подключений.Однако он не предлагает слишком много дополнительных функций и инструментов конфиденциальности. Тем не менее, это обычно считается хорошим VPN-сервисом.
  • ExpressVPN — это служба VPN с большим и разнообразным набором распределенных серверов. Он имеет строгие правила конфиденциальности и информации, ориентированные на безопасность, и предлагает дополнительные функции, такие как раздельное туннелирование. Он также использует протокол OpenVPN.

Как выбрать VPN Виртуальные частные сети

легальны в США, но пользователи и организации должны проверить, разрешены ли они в определенных странах.

Многие виртуальные частные сети предлагают очень похожие технологии, поэтому бывает сложно выбрать, какая из них будет работать лучше всего. Платные услуги VPN, как правило, пользуются большим доверием и включают больше функций безопасности. Авторитетные службы VPN будут заранее сообщать о своей безопасности, своих сильных и слабых сторонах и прозрачности, например, путем проведения сторонних аудитов. Дополнительные функции VPN включают раздельное туннелирование, доступ к сети Tor или множественные соединения.

После того, как люди посмотрят на добавленные функции и найдут услугу, которая, по их мнению, подойдет им, рекомендуется начать с краткосрочной подписки.Многие поставщики предлагают бесплатные пробные версии своих платных версий. Некоторые бесплатные пробные версии могут включать ограничение на объем данных, которые можно использовать.

История VPN Технология

VPN была впервые использована в 1996 году, когда сотрудник Microsoft разработал PPTP. Протокол создал более безопасное частное соединение между пользовательским устройством и Интернетом. В 1999 году спецификация была опубликована.

В начале 2000-х годов виртуальные частные сети в основном ассоциировались с предприятиями и использовались ими. Среднестатистические онлайн-пользователи не совсем использовали эту технологию.В то время компании использовали VPN для доступа к частным бизнес-сетям. В этом случае организации могли получать доступ к данным компании из любого места, как если бы они находились в офисе. Стал возможен безопасный обмен файлами между разными офисами.

После этого стандарты шифрования стали более мощными, и были разработаны новые протоколы туннелирования. По мере того как люди начали узнавать о потенциальных онлайн-угрозах и проблемах конфиденциальности, использование VPN расширилось до индивидуальных домашних пользователей.Скандалы с конфиденциальностью, такие как WikiLeaks или отдельные утечки информации Эдварда Сноудена, были внесены в современный дух времени. Примерно в 2017 году интернет-пользователи в Соединенных Штатах узнали, что интернет-провайдеры могут собирать и продавать свою историю просмотров, а сетевой нейтралитет стал концепцией, за которую граждане должны были бороться — и фактически проиграли. В 2019 году Палата представителей США приняла закон о восстановлении сетевого нейтралитета, но в конечном итоге был заблокирован Сенатом. С тех пор в разных штатах были приняты версии законов о сетевом нейтралитете.Благодаря этим знаниям использование VPN стало более законной потребностью для частных лиц.

Что такое VPN типа «сеть-сеть»?

Виртуальная частная сеть типа «сеть-сеть» (VPN) — это соединение между двумя или более сетями, например корпоративной сетью и сетью филиала. Многие организации используют VPN типа «сеть-сеть», чтобы использовать подключение к Интернету для частного трафика в качестве альтернативы использованию частных каналов MPLS.

VPN типа «сеть-сеть» часто используются компаниями с несколькими офисами в разных географических точках, которым требуется доступ и использование корпоративной сети на постоянной основе.С помощью VPN типа «сеть-сеть» компания может безопасно соединить свою корпоративную сеть со своими удаленными офисами для связи и совместного использования ресурсов как с единой сетью.


Рисунок 1: Пример VPN типа «сеть-сеть»

VPN типа «сеть-сеть» и VPN для удаленного доступа могут показаться похожими, но они служат совершенно разным целям.

  • VPN типа «сеть-сеть» — это постоянное соединение, предназначенное для работы в качестве зашифрованного канала связи между офисами (т. Е. «Сайтами»).Обычно это устанавливается как сетевое соединение IPsec между сетевым оборудованием.
  • VPN для удаленного доступа — это временное соединение между пользователями и штаб-квартирой, обычно используемое для доступа к приложениям центра обработки данных. Это соединение может использовать IPsec, но также распространено использование SSL VPN для установки соединения между конечной точкой пользователя и шлюзом VPN.

Почему VPN-сетей типа «сеть-сеть» уже недостаточно

Компании традиционно использовали VPN типа «сеть-сеть» для соединения своей корпоративной сети и удаленных филиалов в топологии «звездочка».Этот подход работает, когда у компании есть собственный центр обработки данных, высокочувствительные приложения или минимальные требования к пропускной способности. Однако теперь, когда большинство компаний переместили свои приложения и данные в облако и имеют большие мобильные сотрудники, пользователям больше не имеет смысла проходить через собственный центр обработки данных, чтобы перейти в облако, когда они могут вместо этого перейти в облако. облако напрямую.

Следовательно, компаниям необходимо настроить топологию сети с доступом к облаку или приложениям центра обработки данных.Это побуждает организации создавать сетевые архитектуры, которые не зависят от возврата всего трафика в штаб-квартиру.

SASE: современное решение для подключения удаленных офисов

Более поздняя модель кибербезопасности, называемая границей службы безопасного доступа (SASE; произносится как «нахальный»), предоставляет сетевые услуги и услуги сетевой безопасности, необходимые компаниям, напрямую через облачную инфраструктуру. Более того, SASE предлагает множество возможностей безопасности, таких как расширенное предотвращение угроз, предотвращение кражи учетных данных, веб-фильтрация, песочница, безопасность DNS, предотвращение потери данных (DLP) и другие на одной облачной платформе.

Это позволяет компаниям легко подключать свои удаленные офисы; безопасно направлять трафик в общедоступные или частные облака, приложения типа «программное обеспечение как услуга» (SaaS) или в Интернет; а также управлять и контролировать доступ.

Льготы

Некоторые из преимуществ использования SASE заключаются в том, что он позволяет компаниям:

  • Обеспечьте филиалы и магазины розничной торговли доступом к облаку или центру обработки данных.
  • Быстро определяйте пользователей, устройства и приложения.
  • Последовательно применяйте политики безопасности в нескольких местах и ​​обеспечивайте доступ с минимальными привилегиями.
  • Существенно упростите свою ИТ-инфраструктуру и сократите расходы, поскольку они могут использовать одно облачное решение вместо покупки нескольких точечных продуктов и управления ими.

Щелкните здесь, чтобы получить дополнительную информацию об обеспечении безопасности филиалов и магазинов розничной торговли.

Дополнительные ресурсы

Объяснение 4 основных типов VPN и когда их использовать

Доступ ко всем цифровым ресурсам, которые могут вам понадобиться, независимо от того, где вы находитесь и какое у вас подключение к сети, стало для большинства людей образом жизни.Независимо от того, являетесь ли вы компанией, которая обменивается данными с другими компаниями, или путешественником, которому необходимо всегда оставаться на связи, доступ к ресурсам является само собой разумеющимся.

В то время как приложения, размещенные в общедоступном облаке, значительно упрощают определение местоположения, многие ресурсы размещаются в частном порядке по таким причинам, как безопасность и конфиденциальность.

Доступ к этим частным ресурсам часто осуществляется через VPN (виртуальные частные сети). Технология VPN — это довольно простая идея: безопасно подключить человека, которому вы доверяете, к нужному ему ресурсу через сеть, которой вы не доверяете.

Windows, Mac и мобильные операционные системы часто имеют встроенные стандартные опции клиента VPN. Например, Mac OS X включает L2TP (протокол туннелирования уровня 2) поверх IPsec и PPTP (протокол туннелирования точка-точка). Даже Cisco IPsec, основанный на стандартах, плюс некоторые усовершенствования Cisco, является включенной опцией для пользователей Mac.

Уловка заключается в том, чтобы знать, какой тип VPN и когда использовать. Давайте рассмотрим несколько типов VPN и подумаем, где они подходят. Мы рассмотрим два основных типа VPN: то, что я назову клиентской VPN и сетевой VPN .

VPN на основе клиента

VPN на основе клиента — это виртуальная частная сеть, созданная между однопользовательским и удаленной сетью. Часто для установления связи используется приложение.

В большинстве сценариев пользователь вручную запускает VPN-клиент и выполняет аутентификацию, используя имя пользователя и пароль. Клиент создает зашифрованный туннель между компьютером пользователя и удаленной сетью. Затем пользователь получает доступ к удаленной сети через зашифрованный туннель.

Примеры клиентских приложений VPN включают Cisco AnyConnect, Pulse (ранее Juniper) и GlobalProtect Palo Alto Networks.

В чем выгода?

Клиентские приложения VPN позволяют пользователям легко подключать свои ноутбуки или мобильные устройства к вашим личным ресурсам из любого места. Например, я использую VPN-клиент на своем iPhone, iPad и Mac для подключения к штаб-квартире во время путешествий. Это позволяет мне удаленно управлять своей сетью через защищенный VPN-туннель, проложенный между моим устройством и брандмауэром штаб-квартиры.

Помимо базовых возможностей подключения, клиенты VPN предлагают расширенные функции безопасности. Один из них — это возможность тщательно проверить устройство пользователя, прежде чем подключать его к сети. Это дает ИТ-отделам возможность отклонять клиентские VPN-устройства по причинам, отличным от простого сбоя аутентификации.

Для клиентов

Premium VPN требуется лицензия. Хотя клиентское программное обеспечение может быть бесплатным, брандмауэр обычно лицензируется по количеству одновременных разрешенных подключений VPN.Например, у вас может быть 1000 VPN-клиентов, развернутых на устройствах ваших пользователей, но вам нужно только лицензировать брандмауэр для поддержки 500 из них в любой момент времени.

Сетевой VPN

Сетевые VPN — это виртуальные частные сети, которые надежно соединяют две сети вместе через ненадежную сеть. Одним из распространенных примеров является глобальная сеть на основе IPsec, где все офисы компании подключаются друг к другу через Интернет с помощью туннелей IPsec.

Существует несколько видов сетевых VPN.Мы рассмотрим три наиболее распространенных: туннели IPsec, динамические многоточечные VPN и L3VPN на основе MPLS.

1. Туннели IPsec

В принципе, сетевой VPN-туннель ничем не отличается от клиентского IPsec-туннеля. И сетевая, и клиентская реализации создают безопасный туннель, через который зашифрованный трафик проходит между сетями. В то время как туннель IPsec на основе клиента предназначен для инкапсуляции трафика для одного устройства, туннель IPsec на основе сети передает трафик для целых сетей устройств, позволяя им обмениваться данными.

В чем выгода?
Простейший вид сетевой VPN — это основанный на стандартах туннель IPsec. Большинство сетевых маршрутизаторов и брандмауэров способны их создать.

При построении туннеля IPsec между двумя сетями необходимо согласовать следующее:

  • Какие два устройства будут конечными точками туннеля? (Кто будет говорить?). Обычно ответ — пара одиночных IP-адресов. Один администратор брандмауэра настраивает IP-адрес другого как одноранговый IP-адрес .
  • Как будут проходить аутентификацию туннелей? (Как мы будем доверять друг другу?). Чаще всего ответ — это предварительный общий ключ — пароль — или обмен сертификатами. Две конечные точки также должны согласовать способ шифрования трафика с использованием общего набора шифров.
  • Какой трафик будет проходить через туннель? (О чем мы будем говорить?). На языке Cisco наиболее распространенный способ указать разрешенный трафик — использовать криптографический список доступа (ACL). Крипто ACL определяет исходные IP-сети, которые могут взаимодействовать с IP-сетями назначения.Обе стороны туннеля должны иметь совпадающие элементы (пары IP-сетей) для формирования ассоциации безопасности и туннель для передачи ожидаемого трафика, обычно называемые виртуальными частями на основе политик .

В отличие от туннелей IPsec на основе политик, туннели IPsec на основе маршрутов больше похожи на виртуальный канал, позволяющий любому трафику проходить через них. VPN на основе маршрутов доступны от многих поставщиков сетевых услуг, включая Cisco и Juniper. Однако доступность зависит от платформы.

Хотя IPsec VPN основаны на стандартах, производители часто применяют стандарты по-разному. Поэтому создание туннеля IPsec VPN между устройствами от двух разных поставщиков — это своего рода обряд для сетевых инженеров.

Я потратил много часов, пытаясь установить туннели IPsec между оборудованием Cisco и оборудованием Checkpoint или Juniper. Это можно сделать, но часто бывает сложно прочесать детали конфигурации и сообщения журнала, чтобы найти проблему, которая мешает формированию туннеля.

2. Динамическая многоточечная VPN (DMVPN)

Текущая версия DMVPN расширяет идею туннелей IPsec точка-точка в облако связанных сетей. С DMVPN любая сеть может взаимодействовать с любой другой сетью непосредственно через облако DMVPN.

В чем выгода?

DMVPN

устраняют необходимость знать удаленные IP-адреса, позволяя динамически назначаемым IP-адресам безопасно подключаться к инфраструктуре, регистрируя свой IP-адрес на концентраторе DMVPN NHRP.Это позволяет масштабировать решение до тысяч участвующих сайтов. Конечный результат похож на традиционное WAN-соединение.

Вы можете использовать DMVPN для подключения удаленных сайтов к более крупной корпоративной сети через общедоступный Интернет, используя стандартную конфигурацию маршрутизатора, которая после завершения является автоматической. Например, я использовал маршрутизаторы DMVPN для пользователей домашнего офиса, чтобы обеспечить избыточное подключение к головным узлам и минимизировать задержку для голосовых вызовов между узлами. Достижение резервирования головного узла или уменьшения задержки невозможно (в практическом смысле) с традиционными туннелями IPsec точка-точка VPN.

DMVPN — это сложная технология, требующая использования туннелей GRE, IPsec, NHRP (протокол разрешения следующего шага) и протокола маршрутизации — все взаимозависимые компоненты, обеспечивающие связь с полной ячеистой структурой. Чтобы упростить сложность, Cisco предлагает отличное руководство по проектированию DMVPN, которое может помочь архитекторам сети определить наиболее подходящий дизайн для своей среды, а также базовые конфигурации.

Для реализации DMVPN требуются устройства, которые могут завершать туннель DMVPN. DMVPN — это технология Cisco, и по большей части это означает, что DMVPN ограничивается маршрутизаторами Cisco.Несмотря на свою популярность, межсетевые экраны Cisco ASA не поддерживают DMVPN.

3. L3VPN на базе MPLS

В качестве бонуса я подумал, что кратко упомяну L3VPN, наиболее часто развертываемое приложение в многопротокольных сетях с коммутацией меток (MPLS).

MPLS чаще всего встречается в сетях поставщиков услуг. MPLS позволяет поставщикам услуг виртуализировать свои сети, чтобы клиенты могли совместно использовать физическую сеть, но при этом оставаться логически разделенными. MPLS не ограничивается поставщиками услуг; некоторые крупные предприятия используют MPLS внутри своих собственных глобальных инфраструктур.

На другом конце канала глобальной сети находится граничный маршрутизатор провайдера (PE) . Маршрутизатор PE отбрасывает трафик из канала вашей компании в экземпляр виртуального переадресации маршрута (VRF) , который является уникальным для вашей компании, а затем перенаправляет его в основной маршрутизатор поставщика , используя MPLS для тегирования трафика и идентификации трафика VRF. принадлежит.

В чем выгода?

Если ваша компания получает услугу WAN от поставщика услуг, он, скорее всего, предлагает вашей компании услуги L3VPN через свою сеть MPLS.В этом сценарии каждый офис в вашей компании подключается к поставщику услуг через то, что поставщик услуг видит как клиентский маршрутизатор — тот, который соединяет канал WAN от поставщика услуг с остальной частью вашей сети. Купите услугу L3VPN у поставщика, если вам необходимо национальное или международное соединение между удаленными офисами и должна быть гарантия обслуживания.

Для вашей компании этот L3VPN невидим. Вам не нужно запускать MPLS. Вы не видите, как трафик безопасно перенаправляется через магистраль провайдера.Точно так же вы можете взаимодействовать с провайдером, используя маршрутизацию OSPF или BGP, чтобы объявить им свои маршруты, которые они будут передавать в уникально назначенном вам VRF. Но кроме этого, вы знаете только, что ваш трафик идет в один маршрутизатор, а выходит на другой.

Хотя создание DMVPN через Интернет является жизнеспособным решением для подключения, Интернет-сервис может быть не таким надежным, как требуется вашей компании, в зависимости от ваших требований. Провайдер услуг может определять приоритеты голосового и видеотрафика (при условии, что он отмечен соответствующим образом), в то время как Интернет не может сделать такой дифференциации.

С другой стороны, полоса пропускания интернета значительно дешевле по сравнению с пропускной способностью частной глобальной сети, работающей через службу L3VPN оператора связи. По этой причине многие предприятия время от времени соглашаются с риском плохого качества сети и отказываются от своих частных глобальных сетей в пользу некоторой разновидности VPN через Интернет.

Что такое схема подключения в MPLS VPN?

Что такое схема подключения в MPLS VPN? Определения важны в сети, если есть альтернативные варианты использования определения, лучше знать их все для эффективного общения.

Рисунок — Топология VPN MPLS уровня 2

В приведенной выше топологии, которую я разделяю, топология MPLS Layer 2 VPN. Существует много терминов, но давайте сосредоточимся на схеме прикрепления в этом посте.

Если вы посмотрите на связь между устройствами PE и CE, записанную как «AC»

AC расшифровывается как Attachment Circuit.

Между прочим, я рекомендую вам прочитать сообщение «что означает PE-CE» для определения VPN уровня 3 MPLS.

Attachment Circuit как термин используется конкретно в MPLS Layer 2 VPN.

Он используется для описания физической или логической цепи PE (Provider Edge) и CE (Customer Edge). Логическая схема может быть туннелем, субинтерфейсом и т. Д.

В MPLS Layer 2 VPN, присоединительный канал подключен к PW в Ethernet через MPLS (точка-точка) и VPLS (многоточечный-многоточечный) или связан с BGP в MPLS Layer 2 EVPN.

На вершине схемы подключения может работать связующее дерево или любая другая плоскость управления уровня 2, такая как VPLS, Ethernet через MPLS, группа агрегации каналов и т. Д.

Итак, если между клиентским оборудованием и периферийным устройством поставщика есть два канала, две из этих схем подключения могут быть помещены в пакет, который известен как Link Aggregation Group (Ether-channel, Port-Channel — термины Cisco для LAG).

Заключение:

AC, Attachment Circuit, представляет собой физическую или логическую цепь между устройствами PE и CE и используется в MPLS Layer 2 VPN.В VPN уровня 3 MPLS этот канал в основном называется просто каналом PE-CE, а поскольку в VPN уровня 3 MPLS протокол маршрутизации работает между каналом PE и CE, протокол маршрутизации в этом случае называется протоколом маршрутизации PE-CE или клиентом. Протокол маршрутизации.

.