پروژه کارشناسی فناوری اطلاعات
موضوع:
شبکه های اختصاصی مجازی
استاد:
گردآورنده:
سال تحصیلی 96-95
تشکر و قدردانی:
حمد و سپاس خدا را که توفیق کسب دانش و معرفت را به من عطا فرمود و توفیق گام نهادن در مسیر بندگی اش را ارزانیم نمود. شکر و صد سپاس که اکنون تلاش خویش را با نام و یاد او و با امید به استعانت و رحمت او که از هر مهربانی مهربان تر است زینت می بخشم.
پس از سپاس و تشکر بی پایان از ذات مقدس خداوند، وظیفه خود می دانم که کمال تشکر را از اساتید و سرورانی است که با بذل محبت، اینجانب را مرهون منت خویش ساخته اند، بجا آورم.
همچنین از همه عزیزان دلسوز و مهربانم که آرامش روحی و آسایش فکری فراهم نمودند تا با حمایت های همه جانبه در محیطی مطلوب، مراتب تحصیلی و نیز پایان نامه درسی را به نحو احسن به اتمام برسانم; سپاسگزاری نمایم.
چکیده :
همزمان با عمومیت یافتن اینترنت، اغلب سازمانها و موسسات ضرورت توسعه اختصاصی خود را به درستی احساس کردند. در ابتدا شبکههای اینترانت مطرح گردیدند. این نوع شبکهها بصورت کاملاً اختصاصی بوده و کارمندان یک سازمان با استفاده از رمز عبور تعریف شده، قادر به ورود به شبکه و استفاده از منابع موجود می باشند. ولی اخیراً، موسسات و سازمانها با توجه به مطرح شدن خواستههای جدید کارمندان از راه دور، ادارات از راه دور اقدام به ایجاد شبکههای اختصاصی مجازی Virtual Private Network نموده اند. یک VPN شبکهای اختصاصی بوده که از اینترنت برای ارتباط با سایت های از راه دور و ارتباط کاربران با یکدیگر می نماید. این نوع شبکهها به جای استفاده از خطوط واقعی نظیر خطوط Leased از یک ارتباط مجازی به اینترنت برای ایجاد شبکه اختصاصی استفاده میکنند.
فهرست مطالب
عنوان صفحه
2-1 عناصر تشکيل دهنده يک VPN.. 4
3-1 شبکه هاي LAN جزاير اطلاعاتي.. 6
1-3-2 شبكهي محلي به شبكهي محلي.. 16
2-3-2 شبكهي محلي به شبكهي محلي مبتني بر اكسترانت... 16
3-3-2 ميزبان به شبكهي محلي.. 16
5-3-2 معماري شبکه های اختصاصی مجازی.. 17
4-2 ارتباطات VPN مبتني بر اينترانت.. 19
1-4-2 برقراري ارتباط به صورت Remote Access VPN از طريق اينترانت... 19
2-4-2 ارتباطات Site to Site روي بستر اينترانت... 19
6-2 شيوه آدرس دهي توسط VPN.. 20
1-6-2 ايجاد رمز عبور و حساب کاربري براي کلاينت ها21
1-7-2 پروتکل هاي احراز هويت... 22
2-7-2 درخواست يک Machine Certificate براي VPN سرور توسط ويزارد IIS Certificate. 29
3-7-2 نصب سرويس RRAS بر روي VPN سرور34
4-7-2 فعال سازي سرور RRAS و انجام تنظيمات آن براي سرويس NAT و VPN.. 35
5-7-2 انجام تنظيمات سرور NAT براي انتشار CRL. 39
6-7-2 شبکهVPN مبتني بر فناوري WiMax. 59
4-3 فن آوری های سوئیچینگ... 69
6-3 پل بندی شفاف چگونه کار می کند ؟. 73
6-3 مسیریاب ها و سوئیچینگ لایه سوم. 81
1-4 VPN نوری در ابر PON با TDM و تسهیم WDM... 88
2-4 سرویس VPN نوری با استفاده از سیگنالینگ OUNI/GMPLS برای ارزیابی سرویس با روتر HIKRAI90
فهرست اشکال
عنوان صفحه
شکل (2-1): ارتباطات VPN مبتني بر اينترنت براساس روش Remote access VPN]1[18
شکل (2-2): ارتباطات VPN مبتني بر اينترنت براساس روش Site-to-site VPN]1[18
شکل(2-3): برقراري ارتباط به صورت Remote Access VPN از طريق اينترانت ]1[19
شکل(2-4): ارتباطات Site to Site روي بستر اينترانت ]1[20
شکل (2-5): مرحله دوم نصب IIS بر روي VPN سرور ]2[26
شکل (2-6): مرحله پنجم نصب IIS بر روي VPN سرور ]2[27
شکل(2-7): مرحله هفتم نصب IIS بر روي VPN سرور ]2[28
تصویر(2-8): مرحله هشتم نصب IIS بر روي VPN سرور ]2[28
شکل(2-9): مرحله اول درخواست کردن يک Machine Certificate]3[29
شکل(2-10): مرحله دوم درخواست کردن يک Machine Certificate]3[30
شکل(2-11): مرحله سوم درخواست کردن يک Machine Certificate]3[30
شکل(2-12): مرحله چهارم درخواست کردن يک Machine Certificate]3[31
شکل(2-13): مرحله پنجم درخواست کردن يک Machine Certificate]3[32
شکل(2-14): مرحله ششم درخواست کردن يک Machine Certificate]3[32
شکل(2-15): مرحله هفتم درخواست کردن يک Machine Certificate]2[33
شکل(2-16): مرحله چهارم نصب سرويس RRAS بر روي VPN سرور ]2[34
شکل(2-17): مرحله ششم نصب سرويس RRAS بر روي VPN سرور ]3[35
شکل(2-18): مرحله اول فعال سازي سرور RRAS]2[36
شکل(2-19): مرحله سوم فعال سازي سرور RRAS]3[36
شکل(2-20): مرحله چهارم فعال سازي سرور RRAS]3[37
شکل(2-21): مرحله پنجم فعال سازي سرور RRAS]2[37
شکل(2-22): مرحله ششم فعال سازي سرور RRAS]3[38
شکل(2-23): مرحله نهم فعال سازي سرور RRAS]5[39
شکل(2-24): انجام تنظيمات سرور NAT براي انتشار CRL]5[40
شکل(2-25): انجام تنظيمات سرور NAT براي انتشار CRL]5[42
شکل(2-26): انجام تنظيمات سرور NAT براي انتشار CRL]2[42
شکل(2-27): انجام تنظيمات سرور NAT براي انتشار CRL]2[43
شکل(2-27): انجام تنظيمات سرور NAT براي انتشار CRL]2[44
شکل(2-28): تنظيمات مربوط به VPN Server]5[46
شکل(2-29): تنظيمات مربوط به VPN Server]5[46
شکل(2-30): تنظيمات مربوط به VPN Server]5[47
شکل(2-31): تنظيمات مربوط به VPN Server]3[47
شکل(2-32): تنظيمات مربوط به VPN Server]3[48
شکل(2-33): تنظيمات مربوط به VPN Server]3[49
شکل(2-34): تنظيمات مربوط به VPN Server]5[50
شکل(2-35): تنظيمات مربوط به VPN Server]5[51
شکل(2-36): تنظيمات مربوط به VPN Server]5[51
شکل(2-37): تنظيمات مربوط به VPN Server]5[52
شکل(2-38): تنظيمات مربوط به VPN Server]3[53
شکل(2-39): تنظيمات مربوط به VPN Client]2[54
شکل(2-40): تنظيمات مربوط به VPN Client]2[54
شکل(2-41): تنظيمات مربوط به VPN Client]5[55
شکل(2-42): تنظيمات مربوط به VPN Client]4[55
شکل(2-43): تنظيمات مربوط به VPN Client]4[56
شکل(2-44): تنظيمات مربوط به VPN Client]4[56
شکل(2-45): تنظيمات مربوط به VPN Client]4[57
شکل(2-46): تنظيمات مربوط به VPN Client]4[57
شکل(2-47): تنظيمات مربوط به VPN Client]4[58
شکل(2-48): تنظيمات مربوط به VPN Client]4[59
شکل(3-1): نمونه ای از یک سوئیچ سرعت دهنده Cisco]9[64
شکل (3-2): مدل فرضی دیتاها در شبکه ]7[65
شکل (3-3): نمونه ای از یک شبکه با بکار بردن یک سوئیچ ]5[67
شکل (3-4): يك شبکه ترکیبی با دو سوئیچ و سه hub]5[68
شکل (2-6): مدل پل بندی شفاف ]8[73
شکل (3-7): مدل فرضی شبکه ]9[76
شکل (3-8): مدل فرضی شبکه ]8[76
شکل(3-11): پروتکل ترانکینگ VLAN (VTP) ]1[84
شکل (4-1): ساختار VPN انوری ]9[88
شکل (4-2): ست آپ آزمایشی با VPN مهیا شده ]10[89
شکل(4-4): اتصال بین OVPN]10[92
شکل(4-5): پیکربندی CE و PE]9[93
شکل(4-6): سیگنال L1 کاربر و قاب جهانی ]9[94
[1]VPNدر يك تعريف كوتاه شبكهاي از مدارهاي مجازي براي انتقال ترافيك شخصي است. در واقع پيادهسازي شبكهي خصوصي يك شركت يا سازمان را روي يك شبكه عمومي، VPN گويند.
شبكههاي رايانهاي به شكل گستردهاي درسازمانها وشركتهاي اداري و تجاري مورد استفاده قرار ميگيرند. اگر يك شركت از نظر جغرافيايي در يك نقطه متمركز باشد، ارتباطات بين بخشهاي مختلف آنرا ميتوان با يك شبكهي محلي برقرار كرد. اما براي يك شركت بزرگ كه داراي شعب مختلف درنقاط مختلف يك كشور و يا در نقاط مختلف دنيا است و اين شعب نياز دارند كه با هم ارتباطاتِ اطلاعاتيِ امن داشته باشند، بايستي يك شبكهي گستردهي خصوصي بين شعب اين شركت ايجاد گردد. شبكههاي اينترانت كه فقط محدود به يك سازمان يا يك شركت ميباشند، به دليل محدوديتهاي گسترشي نميتوانند چندين سازمان يا شركت را تحت پوشش قرار دهند. شبكههاي گسترده نيز كه با خطوط استيجاري راهاندازي ميشوند، در واقع شبكههاي گستردهي امني هستند كه بين مراكز سازمانها ايجاد ميشوند. پيادهسازي اين شبكهها عليرغم درصد پايين بهرهوري، نياز به هزينه زيادي دارد. زيرا، اين شبكهها به دليل عدم اشتراك منابع با ديگران، هزينه مواقع عدم استفاده از منابع را نيز بايستي پرداخت كنند. راهحل غلبه بر اين مشكلات، راهاندازي يك VPN است.
فرستادن حجم زيادي از داده از يك كامپيوتر به كامپيوتر ديگر مثلا در به هنگام رساني بانك اطلاعاتي يك مشكل شناخته شده و قديمي است. انجام اين كار از طريق Email به دليل محدوديت گنجايش سرويس دهنده Mail نشدني است. استفاده از FTP هم به سرويس دهنده مربوطه و همچنين ذخيره سازي موقت روي فضاي اينترنت نياز دارد كه اصلا قابل اطمينان نيست.
يكي از راه حلهاي اتصال مستقيم به كامپيوتر مقصد به كمك مودم است كه در اينجا هم علاوه بر مودم، پيكر بندي كامپيوتر به عنوان سرويس دهنده RAS لازم خواهد بود. از اين گذشته، هزينه ارتباط تلفني راه دور براي مودم هم قابل تامل است. اما اگر دو كامپيوتر در دو جاي مختلف به اينترنت متصل باشند ميتوان از طريق سرويس به اشتراك گذاري فايل در ويندوز بسادگي فايلها را رد و بدل كرد. در اين حالت، كاربران ميتوانند به سخت ديسك كامپيوترهاي ديگر همچون سخت ديسك كامپيوتر خود دسترسي داشته باشند. به اين ترتيب بسياري از راه هاي خرابكاري براي نفوذ كنندگان بسته ميشود.
شبكههاي شخصي مجازي اينگونه مشكلات را حل ميكند. VPN به كمك رمز گذاري روي دادهها، درون يك شبكه كوچك ميسازد و كسي كه آدرسهاي لازم و رمز عبور را در اختيار داشته باشد ميتواند به اين شبكه وارد شود. مديران شبكه اي كه بيش از اندازه وسواس داشته و محتاط هستند ميتوانند VPN را حتي روي شبكه محلي هم پياده كنند. اگر چه نفوذ كنندگان ميتوانند به كمك برنامههاي Packet snifter جريان داده ها را دنبال كنند اما بدون داشتن كليد رمز نميتوانند آنها را بخوانند.
يك مثال:
فرض نمائيد در جزيره اي در اقيانوسي بزرگ، زندگي ميكنيد. هزاران جزيره در اطراف جزيره شما وجود دارد. برخي از جزاير نزديك و برخي ديگر داراي مسافت طولاني با جزيره شما ميباشند متداولترين روش به منظور مسافرت به جزيره ديگر، استفاده از يك كشتي مسافربري است مسافرت با كشتي مسافربري، به منزله عدم وجود امنيت است. در اين راستا هركاري را كه شما انجام دهيد، توسط ساير مسافرين قابل مشاهده خواهد بود. فرض كنيد هر يك از جزاير مورد نظر به مشابه يك شبكه محلي (LAN) و اقيانوس مانند اينترنت باشند. مسافرت با يك كشتي مسافربري مشابه برقراري ارتباط بايك سرويس دهنده وب ويا ساير دستگاههاي موجود در اينترنت است. شما داراي هيچگونه كنترلي برروي كابل ها و روترهاي موجود در اينترنت نميباشيد (مشابه عدم كنترل شما به عنوان مسافر كشتي مسافربري بر روي ساير مسافرين حاضر در كشتي) درصورتي كه تمايل به ارتباط بين دو شبكه اختصاصي از طريق منابع عمومي وجود داشته باشد، اولين مسئله اي كه با چالش هاي جدي برخورد خواهد كرد، امنيت خواهدبود. فرض كنيد، جزيره شما قصد ايجاد يك پل ارتباطي با جزيره مورد نظر را داشته باشد. مسير ايجاد شده يك روش ايمن، ساده و مستقيم براي مسافرت ساكنين جزيره شما به جزيره ديگر را فراهم ميآورد. اما ايجاد و نگهداري يك پل ارتباطي بين دو جزيره مستلزم صرف هزينه هاي بالائي خواهد بود.
(حتي اگر جزاير در مجاورت يكديگر باشند). با توجه به ضرورت و حساسيت مربوط به داشتن يك مسير ايمن و مطمئن، تصميم به ايجاد پل ارتباطي بين دو جزيره گرفته شده است. در صورتي كه جزيره شما قصد ايجاد يك پل ارتباطي با جزيره ديگر را داشته باشد كه در مسافت بسيار طولاني نسبت به جزيره شما واقع است، هزينه هاي مربوط به مراتب بيشتر خواهد بود. وضعيت فوق، نظير استفاده از يك اختصاصي Leased است. ماهيت پل هاي ارتباطي (خطوط اختصاصي) از اقيانوس (اينترنت) متفاوت بوده و كماكان قادر به ارتباط جزاير شبكه هاي (LAN) خواهند بود. سازمانها و موسسات متعددي از رويكرد فوق (استفاده از خطوط اختصاصي) استفاده مينمايند. مهم ترين عامل در اين زمينه وجود امنيت و اطمينان براي برقراري ارتباط هر يك سازمانهاي مورد نظر با يكديگر است. در صورتيكه مسافت ادارات و يا شعب يك سازمان از يكديگر بسيار دور باشد، هزينه مربوط به برقراي ارتباط نيز افزايش خواهد يافت.
با توجه به موارد گفته شده، چه ضرورتي به منظور استفاده از VPNوجود داشته وVPN تامين كننده، كداميك از اهداف و خواسته هاي مورد نظر است؟ با توجه به مقايسه انجام شده در مثال فرضي، مي توان گفت كه با استفاده از VPN به هريك از ساكنين جزيره يك زيردريایي داده مي شود. زيردريایي فوق داراي خصايص متفاوت نظير:
- داراي سرعت بالا است.
- هدايت آن ساده است.
- قادر به استتار (مخفي نمودن) شما از ساير زيردريایيها و كشتي ها است.
- قابل اعتماد است.
- پس از تامين اولين زيردريائي، افزودن امكانات جانبي و حتي يك زيردريائي ديگر مقرون به صرفه خواهد بود.
- درمدل فوق، با وجود ترافيك در اقيانوس، هر يك از ساكنين دو جزيره قادر به تردد در طول مسير در زمان دلخواه خود با رعايت مسايل ايمني ميباشند.
مثال فوق دقيقا بيانگر تحوه عملكرد VPN است. هريك از كاربران از راه دور شبكه قادر به برقراري ارتباطي امن و مطمئن با استفاده ازيك محيط انتقال عمومي (نظير اينترنت) با شبكه محلي (LAN) موجود در سازمان خود خواهند بود. توسعه يك VPN افزايش تعداد كاربران از راه دور و يا افزايش مكان هاي مورد نظر به مراتب آسانتر از شبكه هائي است كه از خطوط اختصاصي استفاده مي نمايند.
قابليت توسعه فراگير از مهمترين ويژگي هاي يك VPN نسبت به خطوط اختصاصي است.
[1]Virtual private Network
مبلغ قابل پرداخت 8,820 تومان