Jedna mreža za tri ureda. Objedinjavanje udaljenih ureda. Na što trebate obratiti pažnju pri odabiru opreme


Obratite se stručnjakuGoryainov Denis Tehnički direktor +79851256588 Postavite pitanje

Kombiniranje dvije ili više lokalnih mreža

Zadaci umrežavanja:

1. uspostaviti brzu, sigurnu i pouzdanu razmjenu informacija između više udaljenih ureda i poslovnica;

2. Povežite mobilne zaposlenike na lokalnu mrežu, osiguravajući sigurnost veze ;

3. stvoriti jedan telefonski kanal za podružnice radi uštede i kontrole troškova, jednostavnost prebacivanja;

4. stvoriti centralizirani internetski kanal i raspodjelu prometa između poslovnica;

5. preuzeti kontrolu nad "centralnim" udaljenim uredima.

Ako trebate riješiti ove probleme, usluga ZSC-a omogućit će vašoj tvrtki da poveže sve udaljene poslovnice i zaposlenike u jedinstvenu mrežu.

Međusobno povezivanje lokalnih mreža

Kada tvrtke trebaju ujediniti nekoliko podružnica i ureda, danas više nije dovoljno da izvođač jednostavno uspostavi centraliziranu lokalnu mrežu i uspostavi razmjenu informacija.

Klijent treba složeno rješenje s:

  1. jedan telefonski kanal;
  2. upravljani internetski promet;
  3. mogućnost automatiziranog upravljanja i daljinskog tehnička podrška Računala i poslužitelji podružnica;
  4. besplatan pristup za udaljene zaposlenike korporativnim informacijama.

Pritom se mora osigurati visok stupanj sigurnosti svih tih tokova informacija.

Danas usluga za klijenta lokalne mreže potrebno "pod ključ»- izvođač mora svaku fazu radova izvesti samostalno, uz minimalno sudjelovanje naručitelja. Kao rezultat toga, klijent treba osigurati centralizirani sustav upravljanja podružnicama sa svim potrebnim IT komponentama te alatima za kontrolu i podršku. Ne govorimo o jednostavnom VPN-u – govorimo o virtualnom ujedinjenju udaljenih ureda na "fizičku" razinu.

U isto vrijeme, ne smijemo zaboraviti da je projekt kombinirajući dvije ili više lokalnih mreža mora biti ekonomičan, inače će svi njegovi pozitivni rezultati biti neisplativi.

Ukoliko trebate izvršiti ovakvo spajanje poslovnica i udaljenih ureda ili implementirati bilo koju njegovu komponentu (jedinstvena telefonska mreža, uravnotežen internetski promet), otvoreni smo za suradnju. S velikim iskustvom i visokim kvalifikacijama na tržištu digitalne tehnologije, spremni smo vam ponuditi najučinkovitiju i najisplativiju opciju, usmjerenu na specifične potrebe vašeg poslovanja.

Mrežni agregatori

Stručnjaci naše tvrtke ZSC rade s opremom bilo kojeg proizvođača. Ako imate vlastite usmjerivače, mi ćemo ih konfigurirati za povezivanje lokalnih mreža udaljenih ureda.

Mikrotik umrežavanje

U našoj praksi koristimo profesionalnu opremu od Mikrotik(ekonomičnije i popularnije rješenje) i Cisco (skuplje i funkcionalnije rješenje).

Na primjeru opreme Mikrotik analizirat ćemo tehnologije za kombiniranje lokalnih mreža. Unatoč prilično niskoj Tržišna vrijednost u usporedbi s analognim, softverska platforma Mikrotik omogućuje vam konfiguriranje fleksibilnih, sigurnih i funkcionalnih kanala razmjene informacija. Oprema ovog proizvođača izvrsno se dokazala na našim brojnim projektima iu uredima klijentima. Osim toga, Mikrotik omogućuje ozbiljne uštede u proračunu.

Mikrotik usmjerivači podržavaju do sedam protokola za sigurno slanje informacija koje se šifriraju kao zasebni paketi s dodjelom drugog IP zaglavlja. Ovo zaglavlje uključuje IP adresu primatelja i IP adresu pošiljatelja. Prilikom pokušaja presretanja informacija, prevarant vidi samo te podatke, dok je nemoguće odrediti izvorno i odredišno računalo. U slučaju curenja informacija, dešifriranje koda će trajati predugo, a još nije činjenica da će uspjeti. Koriste se i druge opcije za siguran prijenos informacija.

Sigurnosni protokoli:

Više detalja

PPTP(tunel point-to-point protokol) - koristi se za izgradnju namjenskih mreža povrh otvorenih. Odlikuje se visokim performansama, raznim opcijama šifriranja i mogućnošću korištenja različitih softverskih platformi.

L2TP- za razliku od PPTP-a, ima veću toleranciju na greške i pouzdaniju sigurnost. Odnosi se na obje konstrukcije zatvorene mreže unutar otvorene, te za pristup korporativnoj mreži s udaljenih uređaja, kao i za korištenje različitih shema povezivanja.

IP2IP- šifrira informacije u pakete i dodjeljuje im zaseban IP za pouzdan prijenos do primatelja. Koristi se za izgradnju tunela između usmjerivača putem interneta.

PPPOE- radi po analogiji s PPTP-om, ali je jednostavnije i manje zahtjevno rješenje.

IPSec je jedna od najpouzdanijih opcija za izgradnju zatvorenog tunela. Osim toga, informacije su šifrirane; za čitanje se moraju koristiti pojedinačni ključevi. To osigurava visoku, dvoslojnu razinu sigurnosti prijenosa podataka.

VLAN- osigurava stvaranje logičkih sigurnih tunela velike brzine, koji su po sigurnosti bliski "fizičkom" prijenosu informacija, na primjer, unutar ureda putem kabela.

EoIP- organizira transparentnu integraciju udaljenih ureda i poslovnica povrh kreiranih virtualnih kanala. Omogućuje vam da fleksibilno konfigurirate internetski promet, pojedinačne sigurnosne politike, balansiranje i postavke za udaljene grane. Za korištenje EoIP-a potrebna je dovoljno široka propusnost, budući da protokol zauzima do 15% prometa u svrhu kontrole.

Kombinacija različitih sigurnosnih protokola omogućuje vam izgradnju fleksibilnih, sigurnih i pouzdanih komunikacijskih kanala i zadovoljavanje specifičnih poslovnih potreba. Ako trebate maksimalnu sigurnost, prikladan je IPSec, a ako vam je potreban jednostavniji kanal za prijenos šifriranih informacija - PPTP, L2TP ili IP2IP. VLAN i EoIP mogu biti izbor za organiziranje transparentne i kontrolirane logistike informacija između podružnica i ureda.

Trošak kombiniranja dviju ili više lokalnih mreža

Navedite jedinstveni cjenik s nedvosmislenim cijene za kombiniranje dviju ili više lokalnih mreža koji bi se primjenjivao na sve projekte nije moguće. U konačnom izračunu puno ovisi o zadacima, poslovnim potrebama, količini posla, broju Ethernet utičnica, duljini kabela i još mnogo toga.

Međutim, postoji nekoliko osnovnih pokazatelja koji se odnose na određene vrste posla:

Vrsta posla

Jedinice

Cijena, rub.)*

Ugradnja kabelskog kanala

m.

120

Instalacija kabelaUTP ( mačka 5 e) uzimajući u obzir grupno polaganje

m.

44,48

Ugradnja rebra uzimajući u obzir pričvršćivanje

m.

Montaža utičniceRJ-45

KOM.

200

Označavanje kabela uzimajući u obzir označeno materijala

KOM.

Ugradnja CCTV kamera,Wi- Fibodova itd.

KOM.

1500

Testiranje linije na prisutnost kontakta ("zvonjenje")

KOM.

Projektiranje strukturiranog sustava

sq. m.

Instalacija mrežne opreme

KOM.

400

Aktualno na dan 16.02.2017. (bez PDV-a)

Naši stručnjaci i dizajneri u stanju su stvarati projekt kombiniranja dviju ili više lokalnih mreža bilo koje složenosti i obima, za specifične potrebe poslovanja, uskladiti ga s kupcem i implementirati po principu ključ u ruke.

Povezivanje računalnih mreža - kako radimo:

  • dobivamo početne podatke, postavke i sigurnosne politike koje funkcioniraju unutar vaše tvrtke;
  • integriramo ih s postavkama usmjerivača, konfiguriramo opremu prema zahtjevima koji su vam potrebni;
  • šaljemo konfigurirani usmjerivač u udaljenu granu (ured) i povezujemo ga;
  • provodimo puštanje u rad ;
  • nudimo vam rješenje po principu ključ u ruke – kombiniranje dvije ili više lokalnih mreža.

Za vas - sve je elementarno jednostavno! A na našoj strani je veliko iskustvo, visoka kvalifikacija i deseci završeni projekti... A sve to nam omogućuje da radimo brzo, učinkovito i uz ozbiljne uštede u proračunu bez ugrožavanja kvalitete.

A ako ste naš klijent kompleksa pretplatnička usluga Premium tarife, tada vam je ova usluga besplatna (plaća se samo oprema)!

Pogledajmo pobliže pojedine komponente cjelovitog rješenja "Kombiniranje dvije ili više lokalnih mreža".

Telefoniranje između udaljenih ureda

Zadatak : stvoriti jedinstvenu telefonsku mrežu s "kratkim" pretplatničkim brojevima u udaljenim poslovnicama, osigurati uštedu prilikom pozivanja i kontrolirati korištenje telefonskih linija, povezati mobilne zaposlenike na telefonsku mrežu, uvesti jedinstveni broj.

Kad smo bili povezani zajedničkom mrežom Ethernet središnjih i udaljenih ureda, tako smo formirali jedinstven informacijski prostor. Unutar ovog prostora mogu se prenijeti svi podaci: datoteke, video sadržaj, glasovni sadržaj i druge informacije. Najmasovniji segment informacija koji se prenosi unutar poduzeća je podatke poslužitelja; na drugom mjestu po popularnosti - glas i video sadržaja.

Jedinstvena lokalna mreža omogućuje vam da konfigurirate opremu na način da zaposlenici, koji su možda razdvojeni tisućama kilometara, budu u istom uredu.

Stacionarni zaposlenici

Za izgradnju jedinstvene telefonske mreže između poslovnica i "centra" potrebno je vlastitu digitalnu uredsku PBX, koji je instaliran u središnjem uredu. A u poslovnicama se spajaju IP telefoni za koje su IP adrese konfigurirane kao da je riječ o mreži jednog ureda. PBX i udaljeni telefon međusobno se identificiraju, nakon čega dodjeljujemo "kratki" broj za udaljeni ured. Sve se događa kao da smo samo dodali novog djelatnika u stožeru.

Kao rezultat toga, vaši zaposlenici počinju raditi u jednom prostoru, bez obzira koliko su udaljeni jedni od drugih. Kada na PBX stigne dolazni poziv, telefonska centrala "misli" da ste u istoj mreži i prosljeđuje poziv, a on se distribuira u drugi grad ili čak državu. Istovremeno je osigurana visoka razina prijenosa podataka - komunikacija se odvija kroz sigurne šifrirane tunele.

Mobilni zaposlenici

Mobilni zaposlenici također se mogu spojiti na jedinstvenu telefonsku mrežu tvrtke. Da bi to učinili, trebaju koristiti telefone koji podržavaju tuneliranje. Unutar pametnog telefona konfiguriran je kriptirani tunel koji se "podiže" kada se telefon poveže Wi-Fi mreže i autoriziran je kroz propisane postavke sa centralne PBX-a u Vašem uredu.

Kao rezultat, vaš mobilni zaposlenik ulazi u korporativnu telefonsku mrežu, može imati "kratki" broj za brzo prebacivanje i koristiti povoljne tarife za upućivanje i primanje poziva koje su konfigurirane na vašoj centralnoj PBX-u.

Prednosti objedinjene telefonije između poslovnica:

  • fleksibilna konfiguracija internog usmjeravanja poziva;
  • mogućnost korištenja više operatera i tarifa;
  • mogućnost korištenja jednog telefonskog broja s naknadnim prosljeđivanjem na brojeve poslovnica;
  • značajne uštede u troškovima telefonije;
  • centralizacija i kontrola dolaznih i odlaznih poziva.

Među ovim i mnogim drugim prednostima telefonske mreže između udaljenih podružnica, dvije su glavne koje su ovu uslugu učinile toliko popularnom danas: prvi- korištenje višekanalnih brojeva; i, drugi- uštede na troškovima telefonije.

Zbog višekanalne prirode, pozivi su udobno raspoređeni između udaljenih ureda. Dovoljno je jednostavno postaviti glasovni izbornik kako bi klijent mogao nazvati jedan broj i spojiti se na određenu regiju, grad, ured ili pododjel.

Uštede su osigurane logičnim usmjeravanjem između nekoliko operatera koji su spojeni na jednu PBX u središnjoj ured... Odnosno, dovoljno je jednom ispravno konfigurirati telefonsku centralu u sjedištu, povezujući na nju nekoliko operatera, kako bi se smanjili troškovi telefonije za cijelu mrežu poslovnica. Na primjer, svi pozivi unutar Rusije obavljaju se putem jednog operatera IP telefonije. Analogni pozivi u Moskvi prolaze kroz neograničene gradske linije, a međugradski pozivi preko trećeg operatera SIP telefonije. I tako – za sve zasebna vrsta komunikacije: dolazni/odlazni, pozivi unutar Rusije, unutar regije, grada, međugradski i međunarodni pozivi, sa fiksnih i mobilnih telefona.

Naši klijenti, u složenim konfiguracijama, imaju od 2 do 5 telekom operatera, što osigurava najoptimalnije trošenje sredstava. Moraju pratiti ispravan rad samo jedne središnje opreme kako bi zapravo opsluživali desetke ureda i ne bi trošili desetke tisuća rubalja na nepismeno korištenje telefonskog prometa.

Više detalja o ovoj usluzi možete pronaći u odjeljku "Office PBX". Ovdje saznajte koliko točno tvrtka može uštedjeti korištenjem središnjeg ureda.

Internet umrežavanje

Zadatak : Osigurajte stabilan, neprekidan internet promet u udaljenom uredu ili poslovnici

Kada tvrtka ima malu podružnicu u drugom gradu, njezina učinkovit rad povezan stalnom i stabilnom internetskom vezom i svi poslovni procesi se zaustavljaju čim se veza prekine, potrebno je obvezno rezervirati internetske kanale.

Prijavom moderna oprema od MikroTika i Cisca, u mogućnosti smo osigurati da poslovni procesi korisnika ne staju i da udaljene poslovnice stalno dobivaju stabilan internet.

Balansiranje internetskih kanala udaljenih ureda - što je to?

Da bismo izvršili ovaj zadatak, postavili smo kanale primarnog i rezervnog ISP-a. Istodobno, rezerva može biti ili zemaljski dodatni kanal ili ekonomičniji kanal. mobilni operateri(Beeline, MTS, Megafon, Yota, Tele2).

U slučaju kvara glavnog, u pravilu, snažnijeg, kanal se automatski prebacuje na pomoćni kanal. S takvim prekidačem oprema se ponovno autorizira, a u rezervnom kanalu se podiže tunel za siguran prijenos šifriranih podataka. Najprije morate autorizirati opremu na način da je moguće balansirati između dva internetska kanala, ovisno o njihovoj dostupnosti.

Za krajnjeg korisnika neće doći do promjena - on će jednostavno nastaviti koristiti internet koji će se privremeno opskrbljivati ​​putem rezervnog kanala. I naše automatizirani sustav monitoring prihvaća te podatke, stručnjaci vide informacije i šalju zahtjev davatelju glavnog kanala da riješi problem.

Pozivamo naše klijente da ne štede na rezervnom kanalu, jer će trošak njegovog korištenja (do 1000 rubalja, ovisno o regiji) biti znatno niži od mogućih poslovnih gubitaka zbog prekida u jedinom internetskom kanalu.

Postoje i složenije sheme za uravnoteženje internetskih kanala udaljenih ureda. Na primjer, Cisco je razvio i implementirao GRE tunele. To su poznati tuneli, ali GRE zaglavlje je prekriveno na vrhu standardnog IP paketa. Takvi tuneli omogućuju vam da izvršite autorizaciju domene unutar mreže.

Opcija balansiranja internetskog kanala ovisi o specifičnim potrebama korisnika.

Lokalne mreže između udaljenih ureda mogu se koristiti za druge mogućnosti povezivanja, na primjer, za video konferencija osiguravajući jedinstvena sigurnosna politika i mnogo više.

Mi smo sa svoje strane u mogućnosti osigurati takvu konsolidaciju mreže poslovnica klijenta kako bi njegova informatička infrastruktura radila nesmetano, kako se njegovi poslovni procesi ne bi zaustavili - spremni smo vam osigurati otpornost bez presedana sve komponente.

Glavni cilj kombiniranja lokalnih mreža ureda je osigurati transparentan pristup zemljopisno raspoređenim informacijski resursi organizacijama. Konsolidacija uredskih mreža omogućuje rješavanje sljedećih, najčešćih zadataka:

  • koristiti jedan kapacitet brojanja uredske PBX-a;
  • osigurati autorizaciju korisnika za pristup resursima (zajedničke mape, intranet stranica, e-pošta, itd.) bez obzira na njihovu trenutnu lokaciju;
  • osigurati siguran pristup zaposlenicima organizacije resursima koji se nalaze u različitim uredima (na primjer, osigurati da zaposlenici rade s 1C-enterprise poslužiteljem instaliranim u jednom od ureda);
  • rad na udaljenom računalu pomoću terminalskog pristupa (upravljanje udaljenom radnom površinom);
  • poboljšati učinkovitost i odzivnost službe tehničke podrške zahvaljujući mogućnosti daljinskog upravljanja računalima, poslužiteljima i ostalom opremom, kao i učinkovito korištenje Ugrađeni Windows alati za pomoć - Remote Assistant.

Metode implementacije integracije uredskih mreža

U cilju objedinjavanja lokalnih mreža ureda i udaljenih podružnica koriste se tehnologijom virtualnih privatnih mreža - VPN (Virtual Private Network). Ova tehnologija je namijenjena kriptografskoj zaštiti podataka koji se prenose računalne mreže... VPN je skup mrežnih veza između više VPN pristupnika koji kriptiraju mrežni promet. VPN pristupnici se također nazivaju kriptografski pristupnici ili kripto pristupnici.

Postoje dvije metode izgradnje jedne sigurne korporativne mreže organizacije:

  1. korištenje opreme i odgovarajućeg skupa usluga internetskog davatelja;
  2. korištenjem vlastitu opremu nalazi se u sjedištu i poslovnicama.

VPN i usluge pruža internetski davatelj

Ovo rješenje je primjenjivo ako su sjedište i poslovnice povezani na Internet putem istog ISP-a. Ako su podružnice tvrtke raštrkane po gradovima, pa čak i u različite zemlje, teško da postoji davatelj koji vam može pružiti potrebnu razinu usluge, pa čak i za razumne novce.

Ako se vaši uredi nalaze unutar istog grada, provjerite sa svojim internetskim davateljem mogu li omogućiti međusobno povezivanje lokalnih mreža vaših ureda u jednu mrežu. Možda će vam ovo rješenje biti optimalno u smislu troškova.

Samostalna konsolidacija mreže ureda i poslovnica

Metoda kombiniranja dviju mreža korištenjem VPN tehnologije u literaturi na engleskom jeziku naziva se "Peer-to-Peer VPN" ili "site-to-site VPN". Između dvije mreže uspostavljen je način "transparentnog šifriranja". Za enkripciju i prijenos prometa u IP mrežama najčešće se koristi IPSec protokol.

Za organiziranje VPN veza (VPN tunela) između središnjeg ureda i podružnica malih tvrtki, preporučujemo korištenje hardverskih internetskih pristupnika (vatrozida) s ugrađenom VPN podrškom. Primjer takvih pristupnika bi bio ZyXEL ZyWALL , Netgear vatrozid , Kontrolna točka [e-mail zaštićen], itd. Ova klasa proizvoda je dizajnirana za korištenje u malim tvrtkama sa prosječan broj osoblje od 5 do 100 ljudi. Ovi se uređaji lako konfiguriraju, imaju visoku pouzdanost i dovoljne performanse.

Sjedišta organizacija često instaliraju integrirana rješenja mrežne sigurnosti temeljena na softveru kao što su Microsoft Internet Security i Acceleration Server 2006 (Microsoft ISA 2006), CheckPoint Express, CheckPoint VPN-1 Edge i drugi. Za upravljanje ovim zaštitama potrebno je visoko kvalificirano osoblje koje je u pravilu dostupno u sjedištu ili posuđeno od outsourcing tvrtke.

Bez obzira na korištenu opremu, opća shema za izgradnju Peer-to-Peer VPN-a za sigurno kombiniranje lokalnih mreža udaljenih ureda u jednu mrežu je sljedeća:

Također treba napomenuti da postoje specijalizirani hardverski kripto-pristupnici, kao što su Cisco VPN Concentrator, Continent-K, itd. Njihovo područje primjene je srednje i velike tvrtke gdje trebate osigurati visokoučinkovito šifriranje mrežnog prometa, kao i pristupačnost. Na primjer, osigurajte šifriranje podataka u skladu s GOST-om ("Kontinent-K").

Na što trebate obratiti pažnju pri odabiru opreme

Prilikom odabira opreme za organiziranje virtualne privatne mreže (VPN) morate obratiti pažnju na sljedeća svojstva:

  1. broj istovremeno podržanih vpn tunela;
  2. izvođenje;
  3. mogućnost filtriranja mrežnog prometa unutar vpn tunela (ova funkcija nije implementirana u svim internetskim pristupnicima);
  4. Podrška za upravljanje kvalitetom QoS-a (vrlo korisna pri prijenosu govornog prometa između mreža);
  5. kompatibilnost s postojećom opremom i primijenjenim tehnologijama.

Hardverska rješenja

Prednosti rješenja izgrađenih na jeftinim hardverskim internetskim pristupnicima

  • Niska cijena;
  • Visoka pouzdanost (nema potrebe za sigurnosnom kopijom, ništa se ne kvari kada se napajanje isključi);
  • Jednostavnost administracije;
  • Niska potrošnja energije;
  • Zauzima malo prostora, može se instalirati bilo gdje;
  • ovisno o odabranoj platformi za izgradnju VPN-a, na vpn gateway je moguće instalirati dodatne usluge: antivirusno skeniranje internetskog prometa, otkrivanje napada i upada itd., što značajno povećava ukupnu razinu sigurnosti mreže i smanjuje ukupni trošak sveobuhvatnog rješenja za zaštitu mreže ...

nedostatke

  • Rješenje nije skalabilno, povećanje performansi postiže se potpunom zamjenom opreme;
  • Manje fleksibilan u postavkama;
  • Integracija s Microsoft Active Directory (ili LDAP) općenito nije podržana.

Softverska rješenja

Prednosti softverskih rješenja

  • Fleksibilnost;
  • Skalabilnost, tj. sposobnost povećanja produktivnosti prema potrebi;
  • Čvrsta integracija s Microsoft Active Directory (Microsoft ISA 2006, CheckPoint)

nedostatke

  • Visoka cijena;
  • Složenost administracije.

Gdje početi

Prije nego što se uključite u izbor opreme i softver(u daljnjem tekstu softver) za provedbu projekta integracije lokalnih mreža ureda u jedinstvenu mrežu putem VPN-a morate imati sljedeće podatke:

  1. Definirajte topologiju:
    • Meshed - svaka stranica može automatski uspostaviti šifriranu vezu s bilo kojom drugom web lokacijom;
    • Star – podružnice mogu uspostaviti sigurne veze sa središnjim mjestom;
    • Hub i Spoke - Grane se mogu povezati jedna s drugom kroz čvorište na središnjem mjestu;
    • Udaljeni pristup (udaljeni pristup) - korisnici i grupe mogu organizirati sigurne veze s jednom ili više stranica;
    • Kombinacije gore navedenih metoda (na primjer, topologija zvijezda s mrežastim centrom, u kojoj udaljene grane mogu komunicirati sa svim članovima središnjeg VPN-a koji ima potpuno isprepletenu topologiju).
  2. Broj grana (koliko istodobnih VPN veza oprema glavnog ureda treba podržavati);
  3. Broj korisnika u središnjici i u svakoj poslovnici;
  4. Koja oprema i/ili softver se koristi u pojedinoj poslovnici (podaci su potrebni kako bi se uzele u obzir mogućnosti korištenja postojeće opreme i/ili softvera);
  5. Podaci o povezivanju grana na Internet: dodjela IP adrese - dinamička ili statička, brzina komunikacijskog kanala;
  6. Kakav je pristup upravljanju sigurnost informacija(zaštita perimetra mreže, antivirusna sigurnost) će se primijeniti: centralizirano upravljanje sjedište i podružnice po jedan sigurnosni administrator (administrator sustava), ili svaka podružnica ima svoju Administrator sustava.

Kako bi se smanjile prijetnje prodora u mrežu središnjeg ureda, potrebno je posvetiti dužnu pozornost zaštiti mreža podružnica organizacije. Upotreba VPN-a nije zajamčena pouzdana zaštita od prodora, ako mreže podružnica također nisu pouzdano zaštićene. Ako napadač uspije dobiti neovlašteni pristup mreži poslovnica, također će moći dobiti pristup informacijski sistem sjedište, budući da su sjedište i mreže podružnica spojene u jednu mrežu putem VPN-a.

Postoji niz rješenja koja su trenutno vrlo tražena od strane kupaca. Jedan od njih radi u 1C ili drugim aplikacijama na daljinu na poslužitelju poduzeća. Pretpostavimo da imate poslužitelj i trebate omogućiti rad s podacima i aplikacijama direktoru koji je uvijek na putu ili računovođi koji radi od kuće.

U nastavku opisujemo projekt koji smo dovršili za klijenta sa sjedištem u Moskvi i tri odjela u Yaroslalu (ured, proizvodnja i skladište). Dobili smo zadatak da ujedinimo urede i odjele na način da se rad obavlja daljinski u 1C instaliranom na poslužitelju u Moskvi, a također je bilo moguće raditi s dokumentima i poslužiteljem E-mail nalazi u središnjem uredu. Također moramo održavati poslužitelje i računala u udaljenim odjelima. Drugim riječima, potrebno je stvoriti jedinstveno okruženje u kojem korisnici mogu raditi sa zajedničkim dokumentima (potvrde, narudžbe, računi), voditi evidenciju online i raditi s e-poštom.

Rad u 1C na daljinu

Hardverski VPN router instaliran je u svakom uredu i odjelu u kojem radi više od 1 osobe. Ovo je uređaj koji s jedne strane omogućuje korisnicima surfanje internetom, a s druge stvaranje VPN kanala. VPN kanal je sigurna šifrirana veza, tunel koji omogućuje vašim korisnicima slobodnu razmjenu podataka, a istovremeno je nedostupan izvana. Za izgradnju takvih kanala koristimo se ipsec protokol pružajući visoku razinu kriptografske snage.

Na slici je prikazan dijagram povezivanja dva ureda.

Tako uz pomoć dva rutera možemo osigurati komunikaciju između ureda.

Čini se, pokrenite 1C na daljinu i radite. Jao! Treba imati na umu da se ovaj kanal prosljeđuje putem Interneta i stoga ima niz ograničenja:

  • obično morate platiti promet;
  • Brzina interneta, a time i propusnost takvog kanala, relativno je niska.

Nakon što smo pokrenuli takav daljinski 1C, dobit ćemo situaciju "sve visi".

Problem se rješava korištenjem terminalskog pristupa. Jedan od poslužitelja u središnjem uredu, koji ima zapažene računalne mogućnosti, postavili smo kao terminalski poslužitelj. Da biste to učinili, koristite ugrađeni Windows servis Usluge terminala. Morate instalirati i konfigurirati ovu komponentu, aktivirati poslužitelj licenci Terminal Services i instalirati licence. Nakon toga morate instalirati 1C na poslužitelj, a nakon toga možete raditi u 1C na daljinu u terminalu.

Tehnologija pristupa terminalu znači da se svi zadaci koje izvršavate u terminalu fizički izvode na udaljenom poslužitelju, a vama se prenosi samo slika na ekranu. Korisnik koji je pokrenuo 1C iz Yaroslavla u terminalu možda ne zna da 1C radi na daljinu na poslužitelju u Moskvi.

Što to radi? Smanjen promet. Povećanje brzine procesa obrade u udaljenoj bazi podataka 1C. Mogućnost da ljudi rade s bilo kojeg mjesta u svijetu s jednom 1C bazom podataka na daljinu ili s istim datotekama.

Ali svaka bačva meda trebala bi imati svoju muhu. U ovom slučaju, to leži u činjenici da kvaliteta i sama sposobnost rada u terminalu ovisi o pouzdanosti internetske veze. Često je kanal dovoljan za surfanje internetom, međutim, za rad terminala potrebna je prilično pouzdana internetska veza. Pod pouzdanošću ne mislimo toliko na brzinu koliko na odsutnost gubitka paketa u mreži. Na primjer, radijski kanali koje koriste mnogi pružatelji usluga često pružaju vrlo visoke vršne stope, ali postotak gubitka paketa može doseći 10%. U ovoj situaciji, terminalna veza će se stalno prekidati i bit će teško raditi.

Ali u većini slučajeva uspijevamo uspostaviti sposobnost rada u terminalu i s udaljenim 1C i drugim aplikacijama. To našim klijentima omogućuje dinamičan razvoj, minimiziranje troškova i osiguravanje održivog rada poslovnih procesa.

Imajte na umu da rad na daljinu u 1C je sada postala prilično raširena tehnologija, dosta zrela i, ako je pravilno konfigurirana, prilično je sigurna i može se uspješno izvoditi unutar okvira.

Iako je tema zeznuta, ipak, mnogi često imaju poteškoća - bilo da se radi o administratoru sustava početniku ili samo naprednom korisniku, kojeg su nadređeni natjerali da obavlja funkcije inženjera. Paradoksalno, unatoč obilju informacija o VPN-u, pronalaženje razumljive opcije cijeli je problem. Štoviše, čak se stječe dojam da je netko napisao – dok su drugi drsko kopirali tekst. Kao rezultat toga, rezultati pretraživanja su doslovno pretrpani obiljem nepotrebnih informacija, od kojih se rijetko mogu izdvojiti vrijedne informacije. Stoga sam odlučio na svoj način prožvakati sve nijanse (možda će netko dobro doći).

Dakle, što je VPN? VPN (VirtualanPrivatnaMreža- virtualna privatna mreža) je generalizirani naziv za tehnologije koje omogućuju pružanje jedne ili više mrežnih veza (logička mreža) preko druge mreže (uključujući Internet). Ovisno o korištenim protokolima i namjeni, VPN može pružiti tri vrste veza: čvor-čvor, čvor-mreža i net-net. Kako kažu, bez komentara.

VPN stereotipna shema

VPN vam omogućuje jednostavno kombiniranje udaljenog hosta s lokalnom mrežom tvrtke ili drugog hosta, kao i kombiniranje mreža u jednu. Prednost je sasvim očita - možemo lako pristupiti mreži poduzeća s VPN klijenta. Osim toga, VPN također štiti vaše podatke enkripcijom.

Ne pretendujem da vam opisujem sve principe rada VPN-a, jer postoji masa posebne literature, a da budem iskren, ni sam ne znam puno stvari. Ipak, ako je vaš zadatak "Učini to!", morate se hitno uključiti u temu.

Razmotrimo zadatak iz moje osobne prakse, kada je bilo potrebno spojiti dva ureda putem VPN-a - sjedište i poslovnicu. Situaciju je dodatno zakomplicirala činjenica da se u sjedištu nalazio video server koji je trebao primati video s IP kamere poslovnice. Evo kratkog zadatka za vas.

Postoji mnogo načina da se to riješi. Sve ovisi o tome što imate pri ruci. Općenito, VPN je lako izgraditi pomoću hardverskog rješenja temeljenog na raznim Zyxel usmjerivačima. U idealnom slučaju može se dogoditi da internet u oba ureda distribuira jedan provajder i tada uopće nećete imati problema (samo se trebate obratiti prov.). Ako je tvrtka bogata, onda si može priuštiti CISCO. Ali obično se sve rješava softverom.

I ovdje je izbor velik - Open VPN, WinRoute (napominjemo da se plaća), sredstva operacijski sustav, programi poput Hamanchija (da budem iskren, u rijetkim slučajevima može pomoći, ali ne preporučujem se oslanjati na njega - besplatna verzija ima ograničenje od 5 hostova i još jedan značajan nedostatak je to što sva vaša veza ovisi o Hamanchi hostu, što nije uvijek dobro). U mom slučaju bilo bi idealno koristiti OpenVPN, besplatni program koji lako može stvoriti pouzdanu VPN vezu. Ali mi ćemo, kao i uvijek, ići putem manjeg otpora.

U mojoj grani internet se distribuira putem pristupnika baziranog na klijentskim Windowsima. Slažem se, nije najbolje rješenje, ali dovoljno za tri klijentska računala. Moram napraviti VPN poslužitelj s ovog pristupnika. Dok čitate ovaj članak, uvjereni ste da ste novi u VPN-u. Stoga za vas dajem najjednostavniji primjer, koji u principu i meni odgovara.

Obitelj Windows NT već ima ugrađene rudimentarne mogućnosti poslužitelja. Postavljanje VPN poslužitelja na jednom od strojeva neće biti teško. Kao poslužitelj, dat ću primjere snimki zaslona sustava Windows 7, ali generalni principi bit će isti kao i za stari XP.

Imajte na umu da je za povezivanje dvije mreže potrebno imali su drugačiji raspon! Na primjer, u glavnom uredu raspon može biti 192.168.0.x, a u poslovnici može biti 192.168.20.x (ili bilo koji sivi raspon IP-a). Ovo je vrlo važno, stoga budite oprezni. Sada možete početi s postavljanjem.

Idite na VPN poslužitelj u Control Panel -> Network Control Center i opći pristup-> promijeniti parametre adaptera.

Sada pritisnite tipku Alt da biste otvorili izbornik. Tamo, u stavci Datoteka, trebate odabrati "Nova dolazna veza".

Označite okvire za korisnike koji se mogu prijaviti putem VPN-a. Toplo preporučujem Dodajte novog korisnika, dajte mu prijateljsko ime i dodijelite lozinku.

Nakon što ste to učinili, morate u sljedećem prozoru odabrati kako će se korisnici povezati. Označite okvir "Preko interneta". Sada samo trebate dodijeliti raspon adresa virtualnoj mreži. Štoviše, možete odabrati koliko računala može sudjelovati u razmjeni podataka. U sljedećem prozoru odaberite TCP / IP protokol verzije 4 i kliknite "Svojstva":

Imat ćete ono što ja imam na snimci zaslona. Ako želite da klijent dobije pristup lokalnoj mreži na kojoj se nalazi poslužitelj, samo označite okvir "Dopusti pozivateljima pristup lokalnoj mreži". U odjeljku “Dodjela IP adresa” preporučam da adrese navedete ručno prema principu koji sam gore opisao. U svom primjeru, rasponu sam dao samo dvadeset pet adresa, iako sam mogao navesti samo dvije i 255.

Nakon toga kliknite na gumb "Dopusti pristup".

Sustav će automatski stvoriti VPN poslužitelj koji će usamljeno čekati da mu se netko pridruži.

Sada jedino što preostaje je konfigurirati VPN klijent. Na klijentskom računalu također idite na Centar za mrežu i dijeljenje i odaberite Postavljanje nove veze ili mreže... Sada ćete morati odabrati stavku "Povezivanje na radno mjesto"

Kliknite na "Koristi moju internetsku vezu i sada ćete biti bačeni u prozor gdje ćete morati unijeti adresu našeg internetskog pristupnika u poslovnici. Imam ga u obliku 95.2.x.x

Sada možete pozvati vezu, unijeti korisničko ime i lozinku koje ste unijeli na poslužitelju i pokušati se povezati. Ako je sve ispravno, onda ćete se povezati. U mom slučaju već mogu poslati ping na bilo koje računalo poslovnice i zatražiti kameru. Sada ga je lako spojiti mono na video poslužitelj. Možda imate nešto drugo.

Alternativno, prilikom povezivanja može se pojaviti pogreška 800, signalizirajući da nešto nije u redu s vezom. Ovo je ili problem s vatrozidom klijenta ili poslužitelja. Konkretno, ne mogu vam reći - sve se utvrđuje eksperimentalno.

Tako smo nepretenciozno napravili VPN između dva ureda. Igrači se mogu kombinirati na isti način. Međutim, nemojte zaboraviti da ovo još uvijek neće biti punopravni poslužitelj i bolje je koristiti naprednije alate, o čemu ću govoriti u sljedećim dijelovima.

Konkretno, u drugom dijelu ćemo pogledati konfiguriranje OPenVPN-a za Windows i Linux.