Isang network para sa tatlong opisina. Pagsasama-sama ng mga malalayong opisina. Ano ang kailangan mong bigyang-pansin kapag pumipili ng kagamitan


Makipag-ugnayan sa isang espesyalistaGoryainov Denis Direktor ng Teknikal +79851256588 Magtanong

Pagsasama-sama ng dalawa o higit pang mga lokal na network

Mga Gawain sa Networking:

1. magtatag ng mabilis, ligtas at maaasahang pagpapalitan ng impormasyon sa pagitan ng ilang malalayong opisina at sangay;

2. Ikonekta ang mga mobile na empleyado sa lokal na network, na tinitiyak ang seguridad mga koneksyon ;

3. upang lumikha ng isang solong channel ng telepono para sa mga sangay upang i-save at kontrolin ang mga gastos, kadalian ng paglipat;

4. lumikha ng isang sentralisadong channel sa Internet at pamamahagi ng trapiko sa pagitan ng mga sangay;

5. kontrolin ang "gitna" na malalayong opisina.

Kung kailangan mong lutasin ang mga problemang ito, ang serbisyo mula sa ZSC ay magbibigay-daan sa iyong kumpanya na ikonekta ang lahat ng malalayong sangay at empleyado sa isang network.

Lokal na Area Networking

Kapag ang mga kumpanya ay kailangang magkaisa ng ilang sangay at opisina, ngayon ay hindi na sapat para sa isang kontratista na mag-set up lamang ng isang sentralisadong lokal na network at magtatag ng pagpapalitan ng impormasyon.

Kailangan ng kliyente kumplikadong solusyon may:

  1. isang solong channel ng telepono;
  2. pinamamahalaang trapiko sa internet;
  3. ang posibilidad ng awtomatikong kontrol at remote teknikal na suporta mga computer at server ng opisina ng sangay;
  4. libreng pag-access para sa mga malalayong empleyado sa impormasyon ng kumpanya.

Kasabay nito, ang isang mataas na antas ng seguridad ng lahat ng mga daloy ng impormasyon na ito ay dapat matiyak.

Ngayon isang serbisyo para sa kliyente mga lokal na network ng lugar kinakailangan "sa ilalim susi»- dapat isagawa ng kontratista ang bawat yugto ng trabaho nang nakapag-iisa, na may pinakamababang partisipasyon ng customer. Bilang resulta, ang kliyente ay kailangang magbigay ng isang sentralisadong sistema ng pamamahala ng sangay kasama ang lahat ng kinakailangang bahagi ng IT at mga tool sa kontrol at suporta. Hindi namin pinag-uusapan ang tungkol sa isang simpleng VPN - pinag-uusapan namin ang tungkol sa isang virtual na pag-iisa ng mga malalayong opisina sa antas ng "pisikal".

Kasabay nito, hindi natin dapat kalimutan na ang proyekto pagsasama-sama ng dalawa o higit pang mga lokal na network dapat na matipid, kung hindi, ang lahat ng positibong resulta nito ay hindi mapapakinabangan.

Kung kailangan mong gawin ang naturang pagsasanib ng mga sangay at malalayong opisina o ipatupad ang alinman sa mga bahagi nito (pinag-isang network ng telepono, balanseng trapiko sa Internet), kami ay bukas para sa pakikipagtulungan. Sa malawak na karanasan at matataas na kwalipikasyon sa digital technology market, handa kaming mag-alok sa iyo ng pinakaepektibo at cost-effective na opsyon, na nakatuon sa mga partikular na pangangailangan ng iyong negosyo.

Network Combine Devices

Ang mga espesyalista ng aming kumpanya na ZSC ay nagtatrabaho sa kagamitan ng anumang tagagawa. Kung mayroon kang sariling mga router, iko-configure namin ang mga ito upang ikonekta ang mga lokal na network ng mga malalayong opisina.

Mikrotik networking

Sa aming pagsasanay, gumagamit kami ng mga propesyonal na kagamitan mula sa Mikrotik(mas matipid at popular na solusyon) at Cisco (mas mahal at functional na solusyon).

Gamit ang halimbawa ng kagamitan sa Mikrotik, susuriin namin ang mga teknolohiya para sa pagsasama-sama ng mga lokal na network. Sa kabila ng medyo mababa halaga sa pamilihan sa paghahambing sa mga analogue, ang Mikrotik software platform ay nagbibigay-daan sa iyo upang i-configure ang nababaluktot, secure at functional na mga channel ng pagpapalitan ng impormasyon. Ang kagamitan ng tagagawa na ito ay napatunayan nang perpekto sa aming maraming mga proyekto at sa mga opisina mga kliyente. Bilang karagdagan, pinapayagan ng Mikrotik ang malubhang pagtitipid sa badyet.

Sinusuportahan ng mga mikrotik router ang hanggang pitong protocol para sa secure na pagpapadala ng impormasyon, na naka-encrypt bilang hiwalay na mga packet na may pagtatalaga ng pangalawang IP header. Kasama sa header na ito ang IP address ng tatanggap at ang IP address ng nagpadala. Kapag sinusubukang i-intercept ang impormasyon, nakikita lang ng manloloko ang impormasyong ito, habang imposibleng matukoy ang pinagmulang computer at ang patutunguhang computer. Kung sakaling magkaroon ng pagtagas ng impormasyon, masyadong mahaba ang pag-decipher ng code, at hindi pa ito isang katotohanan na gagana ito. Ang iba pang mga opsyon para sa ligtas na paglilipat ng impormasyon ay ginagamit din.

Mga protocol ng seguridad:

higit pang mga detalye

PPTP(tunnel point-to-point protocol) - ginagamit upang bumuo ng mga dedikadong network sa ibabaw ng mga bukas. Nagtatampok ito ng mataas na pagganap, iba't ibang opsyon sa pag-encrypt at kakayahang gumamit ng iba't ibang software platform.

L2TP- hindi tulad ng PPTP, mayroon itong mas mataas na fault tolerance at mas maaasahang seguridad. Nalalapat sa parehong konstruksiyon mga saradong network sa loob bukas, at para sa pag-access sa corporate network mula sa mga malalayong device, pati na rin para sa paggamit ng iba't ibang mga scheme ng koneksyon.

IP2IP- ine-encrypt ang impormasyon sa mga packet at itinalaga ito ng isang hiwalay na IP para sa maaasahang paghahatid sa addressee. Ito ay ginagamit upang bumuo ng mga tunnel sa pagitan ng mga router sa pamamagitan ng Internet.

PPPOE- gumagana sa pamamagitan ng pagkakatulad sa PPTP, ngunit ito ay isang mas simple at hindi gaanong mapagkukunan-intensive na solusyon.

IPSec- isa sa mga pinaka-maaasahang opsyon para sa pagbuo ng saradong lagusan. Bilang karagdagan, ang impormasyon ay naka-encrypt, para sa pagbabasa ay kinakailangan na gumamit ng mga indibidwal na susi. Nagbibigay ito ng mataas, dalawang-layer na seguridad para sa paghahatid ng data.

VLAN- nagbibigay ng paglikha ng mga lohikal na high-speed secure tunnels, na sa mga tuntunin ng seguridad ay malapit sa "pisikal" na paghahatid ng impormasyon, halimbawa, sa loob ng opisina sa pamamagitan ng mga cable.

EoIP- inaayos ang malinaw na pagsasama-sama ng mga malalayong opisina at sangay sa ibabaw ng mga nilikhang virtual na channel. Nagbibigay-daan sa iyong flexible na i-configure ang trapiko sa Internet, mga indibidwal na patakaran sa seguridad, pagbabalanse at mga setting para sa malalayong sangay. Upang magamit ang EoIP, kinakailangan ang isang sapat na malawak na bandwidth, dahil ang protocol ay tumatagal ng hanggang 15% ng trapiko para sa mga layunin ng kontrol.

Ang kumbinasyon ng iba't ibang mga protocol ng seguridad ay nagbibigay-daan sa iyo na bumuo ng nababaluktot, secure at maaasahang mga channel ng komunikasyon at matugunan ang mga partikular na pangangailangan ng negosyo. Kung kailangan mo ng maximum na seguridad, angkop ang IPSec, at kung kailangan mo ng mas simpleng naka-encrypt na channel ng paghahatid ng impormasyon - PPTP, L2TP, o IP2IP. Para sa organisasyon ng transparent at kontroladong logistik ng impormasyon sa pagitan ng mga sangay at opisina, ang VLAN at EoIP ay maaaring maging pagpipilian.

Ang halaga ng pagsasama-sama ng dalawa o higit pang mga lokal na network

Magbigay ng pinag-isang listahan ng presyo na may hindi malabo mga presyo para sa pagsasama-sama ng dalawa o higit pang mga lokal na network na ilalapat sa lahat ng mga proyekto ay hindi posible. Sa huling pagkalkula, marami ang nakasalalay sa mga gawain, pangangailangan sa negosyo, dami ng trabaho, bilang ng mga saksakan ng Ethernet, haba ng cable, at marami pang iba.

Gayunpaman, mayroong ilang mga pangunahing tagapagpahiwatig na nalalapat sa ilang mga uri ng trabaho:

Uri ng trabaho

Mga yunit

Presyo, kuskusin.)*

Pag-install ng cable channel

m.

120

Pag-install ng cableUTP ( pusa 5 e) na isinasaalang-alang ang pagtula ng pangkat

m.

44,48

Pag-install ng mga corrugations na isinasaalang-alang ang pangkabit

m.

Pag-mount ng socketRJ-45

PCS.

200

Ang pagmamarka ng cable na isinasaalang-alang ang minarkahan materyales

PCS.

Pag-install ng mga CCTV camera,Wi- Fipuntos, atbp.

PCS.

1500

Pagsubok sa linya para sa pagkakaroon ng isang contact ("nagri-ring")

PCS.

Trabaho sa disenyo ng structured system

sq. m.

Pag-install ng kagamitan sa network

PCS.

400

Aktwal noong 16.02.2017 (hindi kasama ang VAT)

Ang aming mga espesyalista at taga-disenyo ay nakakagawa proyekto ng pagsasama-sama ng dalawa o higit pang mga lokal na network ng anumang kumplikado at sukat, para sa mga partikular na pangangailangan ng negosyo, upang i-coordinate ito sa customer at ipatupad ito sa isang turnkey na batayan.

Pagkonekta sa mga network ng computer - kung paano kami gumagana:

  • nakukuha namin ang paunang data, mga setting at mga patakaran sa seguridad na gumagana sa loob ng iyong kumpanya;
  • isinasama namin ang mga ito sa mga setting ng router, i-configure namin ang kagamitan ayon sa mga kinakailangan na kailangan mo;
  • ipinapadala namin ang naka-configure na router sa malayong sangay (opisina) at ikonekta ito;
  • ating isinasagawa pagkomisyon ;
  • binibigyan ka namin ng solusyon sa turnkey - pagsasama-sama ng dalawa o higit pang mga lokal na network.

Para sa iyo - ang lahat ay elementarya simple! At sa aming panig ay isang malaking karanasan, mataas na kwalipikasyon at dose-dosenang natapos na mga proyekto... At lahat ng ito ay nagpapahintulot sa amin na magtrabaho nang mabilis, mahusay at may malubhang pagtitipid sa badyet, hindi sa gastos ng kalidad.

At kung ikaw ay aming kliyente ng isang complex serbisyo ng subscription para sa Premium, pagkatapos ang serbisyong ito ay ibinigay para sa iyo nang walang bayad (ang kagamitan lamang ang binabayaran)!

Tingnan natin ang mga indibidwal na bahagi ng isang komprehensibong solusyon "Pagsasama-sama ng dalawa o higit pang mga lokal na network".

Telepono sa pagitan ng mga malalayong opisina

Gawain : upang lumikha ng isang solong network ng telepono na may "maikling" mga numero ng subscriber sa malalayong sangay, upang matiyak ang pagtitipid sa gastos kapag tumatawag at kontrolin ang paggamit ng mga linya ng telepono, upang ikonekta ang mga mobile na empleyado sa network ng telepono, upang ipakilala ang isang solong numero.

Kapag kumonekta kami sa isang karaniwang network Ethernet central at remote na mga opisina, kaya nabuo namin ang isang espasyo ng impormasyon. Maaaring ilipat ang anumang data sa loob ng espasyong ito: mga file, nilalamang video, nilalamang boses at iba pang impormasyon. Ang pinaka-napakalaking bahagi ng impormasyon na ipinadala sa loob ng kumpanya ay data ng server; sa pangalawang lugar sa kasikatan - boses at nilalaman ng video.

Ang isang solong lokal na network ay nagpapahintulot sa iyo na i-configure ang kagamitan sa paraang ang mga empleyado, na maaaring paghiwalayin ng libu-libong kilometro, ay nasa parehong opisina.

Mga nakatigil na empleyado

Upang makabuo ng isang solong network ng telepono sa pagitan ng mga sangay at ng "sentro" ito ay kinakailangan sariling digital office PBX, na naka-install sa central office. At sa mga sangay, ang mga IP phone ay konektado, kung saan ang mga IP address ay na-configure na parang ito ay isang network ng isang opisina. Ang PBX at ang remote na telepono ay nagpapakilala sa isa't isa, pagkatapos nito ay nagtatalaga kami ng "maikling" numero para sa malayong opisina. Nangyayari ang lahat na parang nagdagdag lang kami ng bagong empleyado sa punong tanggapan.

Bilang resulta, ang iyong mga empleyado ay nagsimulang magtrabaho sa isang solong espasyo, gaano man sila kalayo sa isa't isa. Kapag ang isang papasok na tawag ay dumating sa PBX, ang palitan ng telepono ay "sa palagay" na ikaw ay nasa parehong network at ipinapasa ang tawag, at ito ay ipinamamahagi sa ibang lungsod o kahit na bansa. Kasabay nito, ang isang mataas na antas ng paghahatid ng data ay natiyak - ang komunikasyon ay isinasagawa sa pamamagitan ng mga secure na naka-encrypt na tunnel.

Mga empleyado sa mobile

Ang mga mobile na empleyado ay maaari ding konektado sa pinag-isang network ng telepono ng kumpanya. Para magawa ito, kailangan nilang gumamit ng mga teleponong sumusuporta sa tunneling. Naka-configure ang isang naka-encrypt na tunnel sa loob ng smartphone, na "tumataas" kapag nakakonekta ang telepono Mga Wi-Fi network at pinahihintulutan sa pamamagitan ng mga iniresetang setting mula sa central PBX sa iyong opisina.

Bilang resulta, ang iyong mobile na empleyado ay pumasok sa corporate na network ng telepono, maaaring magkaroon ng isang "maikling" numero para sa mabilis na paglipat at gumamit ng mga paborableng taripa para sa paggawa at pagtanggap ng mga tawag na naka-configure sa iyong central PBX.

Mga kalamangan ng pinag-isang telephony sa pagitan ng mga sangay:

  • nababaluktot na pagsasaayos ng panloob na pagruruta ng tawag;
  • ang kakayahang gumamit ng maramihang mga operator at taripa;
  • ang kakayahang gumamit ng isang solong numero ng telepono na may kasunod na pagpapasa sa mga numero ng sangay;
  • makabuluhang pagtitipid sa mga gastos sa telepono;
  • sentralisasyon at kontrol sa mga papasok at papalabas na tawag.

Kabilang sa mga ito at maraming iba pang mga bentahe ng isang network ng telepono sa pagitan ng mga malalayong sangay, mayroong dalawang pangunahing dahilan na nagpasikat sa serbisyong ito ngayon: una- paggamit ng mga numero ng multichannel; at, pangalawa- pagtitipid sa mga gastos sa telepono.

Dahil sa likas na multichannel, ang mga tawag ay kumportableng ipinamamahagi sa pagitan ng mga malalayong opisina. Sapat na ang simpleng pag-set up ng voice menu upang ang kliyente ay makatawag ng isang numero at makakonekta sa isang partikular na rehiyon, lungsod, opisina o subdivision.

Ang mga pagtitipid sa gastos ay sinisiguro sa pamamagitan ng lohikal na pagruruta sa pagitan ng ilang mga operator na konektado sa isang solong PBX sa gitnang opisina... Iyon ay, sapat na upang mai-configure nang tama ang isang palitan ng telepono sa punong tanggapan nang isang beses, na kumukonekta sa ilang mga operator dito, upang mabawasan ang gastos ng telepono para sa buong network ng sangay ng mga tanggapan. Halimbawa, ang lahat ng mga tawag sa loob ng Russia ay ginawa sa pamamagitan ng isang IP-telephony operator. Ang mga analog na tawag sa Moscow ay dumadaan sa walang limitasyong mga linya ng lungsod, at mga long distance na tawag sa pamamagitan ng ikatlong operator ng SIP telephony. At kaya - para sa lahat isang hiwalay na uri mga komunikasyon: papasok / papalabas, mga tawag sa loob ng Russia, sa loob ng rehiyon, lungsod, malayuan at internasyonal na mga tawag, mula sa landline at mga mobile phone.

Ang aming mga kliyente, sa mga kumplikadong pagsasaayos, ay mayroong mula 2 hanggang 5 telecom operator, na nagsisiguro ng pinakamainam na paggasta ng mga pondo. Kailangan nilang subaybayan ang tamang operasyon ng isang sentral na kagamitan lamang upang aktwal na makapaglingkod sa dose-dosenang mga opisina at hindi gumastos ng sampu-sampung libong rubles sa hindi nakakaalam na pag-aaksaya ng trapiko sa telepono.

Higit pang mga detalye tungkol sa serbisyong ito ay matatagpuan sa seksyong "Office PBX". Alamin dito kung gaano kalaki ang matitipid ng isang kumpanya sa pamamagitan ng paggamit ng central office.

Internet networking

Gawain : Magbigay ng matatag, walang patid na trapiko sa internet sa isang malayong opisina o sangay

Kapag ang isang kumpanya ay may maliit na sangay sa ibang lungsod, ang epektibong gawain konektado sa isang pare-pareho at matatag na koneksyon sa Internet at ang lahat ng mga proseso ng negosyo ay hihinto sa sandaling masira ang koneksyon, ito ay kinakailangan upang sapilitan magreserba ng mga channel sa internet.

Sa pamamagitan ng pagaaplay makabagong kagamitan mula sa MikroTik at Cisco, natitiyak namin na ang mga proseso ng negosyo ng customer ay hindi titigil at ang mga malalayong sangay ay patuloy na nakakatanggap ng isang matatag na Internet.

Pagbalanse ng mga channel sa Internet ng mga malalayong opisina - ano ito?

Upang magawa ang gawaing ito, ise-set up namin ang mga channel ng pangunahin at backup na mga ISP. Kasabay nito, ang reserba ay maaaring alinman sa isang panlupa na karagdagang channel o isang mas matipid na channel. mga mobile operator(Beeline, MTS, Megafon, Yota, Tele2).

Sa kaso ng pagkabigo ng pangunahing, bilang isang panuntunan, mas malakas, ang channel ay awtomatikong inililipat sa backup na channel. Sa ganoong switch, ang kagamitan ay muling pinahintulutan, at isang tunel ang itinaas sa backup na channel para sa secure na naka-encrypt na paghahatid ng data. Dapat mo munang pahintulutan ang kagamitan sa paraang posibleng balansehin ang pagitan ng dalawang channel sa Internet, depende sa kanilang kakayahang magamit.

Para sa end user, walang pagbabagong magaganap - magpapatuloy lamang siya sa paggamit ng Internet, na pansamantalang ibibigay sa pamamagitan ng backup na channel. At ang aming awtomatikong sistema tinatanggap ng pagsubaybay ang data na ito, nakikita ng mga espesyalista ang impormasyon at nagpapadala ng kahilingan sa provider ng pangunahing channel upang ayusin ang problema.

Hinihimok namin ang aming mga kliyente na huwag mag-save sa backup na channel, dahil ang halaga ng paggamit nito (hanggang sa 1,000 rubles, depende sa rehiyon) ay magiging makabuluhang mas mababa kaysa sa posibleng pagkalugi sa negosyo dahil sa mga pagkaantala sa nag-iisang Internet channel.

Mayroon ding mas kumplikadong mga scheme para sa pagbabalanse ng mga channel sa Internet ng mga malalayong opisina. Halimbawa, binuo at ipinatupad ng Cisco ang mga GRE tunnel. Ang mga ito ay pamilyar na tunnels, ngunit ang GRE header ay naka-overlay sa ibabaw ng karaniwang IP packet. Ang ganitong mga tunnel ay nagbibigay-daan sa iyo na magsagawa ng domain authorization sa loob ng network.

Ang opsyon sa pagbabalanse para sa Internet channel ay depende sa mga partikular na pangangailangan ng customer.

Ang mga lokal na network sa pagitan ng mga malalayong opisina ay maaaring gamitin para sa iba pang mga opsyon sa koneksyon, halimbawa, para sa video conferencing pagtitiyak pare-parehong patakaran sa seguridad at marami pang iba.

Kami, sa aming bahagi, ay nakakasigurado ng ganoong pagsasama-sama ng network ng sangay ng kliyente upang ang kanyang imprastraktura sa IT ay gumana nang walang pagkaantala, upang ang kanyang mga proseso sa negosyo ay hindi huminto - handa kaming magbigay sa iyo walang uliran na katatagan lahat ng sangkap.

Ang pangunahing layunin ng pagsasama-sama ng mga lokal na network ng mga opisina ay upang magbigay ng transparent na access sa heograpikal na ipinamamahagi mapagkukunan ng impormasyon mga organisasyon. Ang pagsasama-sama ng mga network ng opisina ay nagbibigay-daan sa iyo upang malutas ang sumusunod, ang pinakakaraniwang mga gawain:

  • gumamit ng iisang kapasidad sa pagnunumero ng opisina PBX;
  • tiyakin ang pahintulot ng user na ma-access ang mga mapagkukunan (mga nakabahaging folder, intranet site, e-mail, atbp.) anuman ang kanilang kasalukuyang lokasyon;
  • upang magbigay ng ligtas na pag-access para sa mga empleyado ng organisasyon sa mga mapagkukunang matatagpuan sa iba't ibang mga opisina (halimbawa, upang matiyak na ang mga empleyado ay nagtatrabaho sa 1C-enterprise server na naka-install sa isa sa mga opisina);
  • magtrabaho sa isang malayong computer gamit ang terminal access (remote desktop control);
  • pagbutihin ang kahusayan at pagtugon ng serbisyo ng teknikal na suporta dahil sa kakayahang malayuang pamahalaan ang mga computer, server at iba pang kagamitan, pati na rin ang mabisang paggamit Windows built-in na tulong - Remote Assistant.

Mga pamamaraan para sa pagpapatupad ng pagsasama-sama ng mga network ng opisina

Upang mapag-isa ang mga lokal na network ng mga opisina at malalayong sangay, ginagamit nila ang teknolohiya ng mga virtual private network - VPN (Virtual Private Network). Ang teknolohiyang ito ay inilaan para sa cryptographic na proteksyon ng data na ipinadala mga network ng kompyuter... Ang VPN ay isang koleksyon ng mga koneksyon sa network sa pagitan ng maraming VPN gateway na nag-e-encrypt ng trapiko sa network. Ang mga VPN gateway ay tinatawag ding cryptographic gateway o crypto gateway.

Mayroong dalawang paraan ng pagbuo ng isang secure na corporate network ng isang organisasyon:

  1. gamit ang kagamitan at ang kaukulang hanay ng mga serbisyo ng Internet provider;
  2. gamit sariling kagamitan matatagpuan sa punong tanggapan at mga sangay.

Ang VPN at mga serbisyo ay ibinibigay ng internet provider

Ang solusyon na ito ay naaangkop kung ang punong tanggapan at mga sangay ay konektado sa Internet sa pamamagitan ng parehong ISP. Kung ang mga sangay ng kumpanya ay nakakalat sa buong lungsod, at maging sa iba't-ibang bansa, halos walang provider na makapagbibigay sa iyo ng kinakailangang antas ng serbisyo, at kahit para sa makatwirang pera.

Kung ang iyong mga opisina ay matatagpuan sa loob ng parehong lungsod, suriin sa iyong Internet provider kung maibibigay nila ang pagkakakonekta ng mga lokal na network ng iyong mga opisina sa isang network. Marahil ang solusyon na ito ay magiging pinakamainam para sa iyo sa mga tuntunin ng gastos.

Pagsasama-sama ng mga network ng mga opisina at sangay sa kanilang sarili

Ang paraan ng pagsasama-sama ng dalawang network gamit ang teknolohiya ng VPN ay tinatawag na "Peer-to-Peer VPN" o "site-to-site VPN" sa panitikan sa wikang Ingles. Ang isang "transparent na pag-encrypt" na mode ay itinatag sa pagitan ng dalawang network. Para sa pag-encrypt at paghahatid ng trapiko sa mga IP network, ang IPSec protocol ay kadalasang ginagamit.

Upang ayusin ang mga koneksyon ng VPN (mga VPN tunnel) sa pagitan ng sentral na opisina at mga sangay na opisina ng maliliit na kumpanya, inirerekomenda namin ang paggamit ng mga hardware Internet gateway (mga firewall) na may built-in na suporta sa VPN. Ang isang halimbawa ng gayong mga gateway ay ZyXEL ZyWALL , Netgear Firewall , Check point [email protected], atbp. Ang klase ng mga produkto ay idinisenyo para gamitin sa maliliit na kumpanya na may average na numero kawani mula 5 hanggang 100 katao. Ang mga device na ito ay madaling i-configure, may mataas na pagiging maaasahan at sapat na pagganap.

Sa kanilang punong tanggapan, ang mga organisasyon ay madalas na nag-i-install ng software-based integrated network protection solutions gaya ng Microsoft Internet Security and Acceleration Server 2006 (Microsoft ISA 2006), CheckPoint Express, CheckPoint VPN-1 Edge, at iba pa. Upang pamahalaan ang mga kagamitang pang-proteksyon na ito, kinakailangan ang mataas na kwalipikadong tauhan, na, bilang panuntunan, ay magagamit sa punong tanggapan o hiniram mula sa kumpanya ng outsourcing.

Anuman ang kagamitan na ginamit, ang pangkalahatang pamamaraan para sa pagbuo ng isang Peer-to-Peer VPN para sa ligtas na pagsasama-sama ng mga lokal na network ng mga malalayong opisina sa isang network ay ang mga sumusunod:

Dapat ding tandaan na mayroong mga espesyal na hardware crypto-gateway, tulad ng Cisco VPN Concentrator, Continent-K, atbp. Ang kanilang larangan ng aplikasyon ay daluyan at malalaking kumpanya kung saan kailangan mong magbigay ng mataas na pagganap na pag-encrypt ng trapiko sa network, pati na rin ang pagiging naa-access. Halimbawa, magbigay ng pag-encrypt ng data alinsunod sa GOST ("Continent-K").

Ano ang kailangan mong bigyang-pansin kapag pumipili ng kagamitan

Kapag pumipili ng kagamitan para sa pag-aayos ng isang virtual private network (VPN), kailangan mong bigyang pansin ang mga sumusunod na katangian:

  1. ang bilang ng sabay-sabay na suportadong vpn tunnels;
  2. pagganap;
  3. ang kakayahang i-filter ang trapiko sa network sa loob ng isang vpn tunnel (ang function na ito ay hindi ipinapatupad sa lahat ng mga gateway sa Internet);
  4. Suporta sa pamamahala ng kalidad ng QoS (napakapakinabang kapag nagpapadala ng trapiko ng boses sa pagitan ng mga network);
  5. pagiging tugma sa mga kasalukuyang kagamitan at mga inilapat na teknolohiya.

Mga solusyon sa hardware

Mga benepisyo ng mga solusyon na binuo sa murang hardware na mga gateway sa Internet

  • Mura;
  • Mataas na pagiging maaasahan (hindi na kailangan para sa backup, walang masira kapag ang kapangyarihan ay naka-off);
  • Dali ng pangangasiwa;
  • Mababang paggamit ng kuryente;
  • Tumatagal ng maliit na espasyo, maaaring mai-install kahit saan;
  • depende sa napiling platform para sa pagbuo ng isang VPN, posibleng mag-install ng mga karagdagang serbisyo sa gateway ng vpn: pag-scan ng anti-virus ng trapiko sa Internet, pagtuklas ng mga pag-atake at panghihimasok, atbp., na makabuluhang nagpapataas sa pangkalahatang antas ng seguridad ng network at binabawasan ang kabuuang halaga ng isang komprehensibong solusyon sa proteksyon ng network ...

disadvantages

  • Ang solusyon ay hindi nasusukat, ang pagtaas sa pagganap ay nakamit sa pamamagitan ng isang kumpletong pagpapalit ng kagamitan;
  • Hindi gaanong nababaluktot sa mga setting;
  • Ang pagsasama sa Microsoft Active Directory (o LDAP) ay karaniwang hindi suportado.

Mga solusyon sa software

Mga pakinabang ng mga solusyon sa software

  • Kakayahang umangkop;
  • Scalability, i.e. ang kakayahang dagdagan ang pagiging produktibo kung kinakailangan;
  • Mahigpit na pagsasama sa Microsoft Active Directory (Microsoft ISA 2006, CheckPoint)

disadvantages

  • Mataas na presyo;
  • Pagiging kumplikado ng pangangasiwa.

Kung saan magsisimula

Bago ka bumili sa pagpili ng kagamitan at software(mula rito ay tinutukoy bilang software) para sa pagpapatupad ng isang proyekto upang isama ang mga lokal na network ng mga opisina sa isang network sa pamamagitan ng VPN, dapat ay mayroon ka ng sumusunod na impormasyon:

  1. Tukuyin ang topology:
    • Meshed - ang bawat site ay maaaring awtomatikong magtatag ng isang naka-encrypt na koneksyon sa anumang iba pang site;
    • Star - Ang mga kaakibat ay maaaring magtatag ng mga secure na koneksyon sa gitnang site;
    • Hub at Spoke - Maaaring kumonekta ang mga branch sa isa't isa sa pamamagitan ng hub sa isang central site.
    • Remote Access (remote access) - ang mga user at grupo ay maaaring mag-ayos ng mga secure na koneksyon sa isa o higit pang mga site;
    • Mga kumbinasyon ng mga pamamaraan sa itaas (halimbawa, isang Star na may Meshed Center topology, kung saan ang mga malalayong sangay ay maaaring makipag-ugnayan sa lahat ng miyembro ng isang sentral na VPN na may ganap na meshed topology).
  2. Bilang ng mga sangay (kung gaano karaming mga kasabay na koneksyon sa VPN ang dapat suportahan ng kagamitan sa punong tanggapan);
  3. Ang bilang ng mga gumagamit sa sentral na opisina at sa bawat sangay;
  4. Anong kagamitan at / o software ang ginagamit sa bawat sangay (kinakailangan ang data upang isaalang-alang ang mga posibilidad para sa paggamit ng umiiral na kagamitan at / o software);
  5. Data sa pagkonekta ng mga sangay sa Internet: pagtatalaga ng IP address - dynamic o static, bilis ng channel ng komunikasyon;
  6. Ano ang diskarte sa pamamahala seguridad ng impormasyon(proteksyon sa perimeter ng network, seguridad ng anti-virus) ay ilalapat: sentralisadong pamamahala punong tanggapan at mga sangay ng isang tagapangasiwa ng seguridad (system administrator), o ang bawat sangay ay may kanya-kanyang sarili Administrator ng System.

Upang mabawasan ang mga banta ng pagtagos sa network ng sentral na tanggapan, kinakailangang bigyang-pansin ang proteksyon ng mga network ng mga sangay ng organisasyon. Ang paggamit ng VPN ay hindi ginagarantiyahan maaasahang proteksyon mula sa pagtagos, kung ang mga network ng mga sangay ay hindi rin mapagkakatiwalaang protektado. Kung ang isang umaatake ay makakakuha ng hindi awtorisadong pag-access sa network ng sangay, maaari rin siyang makakuha ng access sa sistema ng impormasyon ng punong tanggapan, dahil ang mga network ng punong tanggapan at sangay ay pinagsama sa iisang network sa pamamagitan ng VPN.

Mayroong ilang mga solusyon na kasalukuyang mataas ang demand ng mga customer. Ang isa sa kanila ay nagtatrabaho sa 1C o iba pang mga application nang malayuan sa isang enterprise server. Ipagpalagay na mayroon kang isang server, at kailangan mong magbigay ng kakayahang magtrabaho kasama ang data at mga aplikasyon sa isang direktor na palaging nasa kalsada, o isang accountant na nagtatrabaho mula sa bahay.

Inilalarawan namin sa ibaba ang isang proyektong natapos namin para sa isang kliyente na may punong tanggapan sa Moscow at tatlong dibisyon sa Yaroslal (opisina, produksyon at bodega). Binigyan kami ng gawain ng pagsasama-sama ng mga tanggapan at dibisyon sa paraang ang trabaho ay isinasagawa nang malayuan sa 1C na naka-install sa isang server sa Moscow, pati na rin ang kakayahang magtrabaho kasama ang mga dokumento at server. Email matatagpuan sa gitnang tanggapan. Kailangan din nating mapanatili ang mga server at computer sa mga malalayong dibisyon. Sa madaling salita, kinakailangan na lumikha ng isang pinag-isang kapaligiran kung saan ang mga gumagamit ay maaaring gumana sa mga karaniwang dokumento (mga sertipiko, mga order, mga invoice), panatilihin ang mga rekord online at magtrabaho kasama ang e-mail.

Magtrabaho sa 1C nang malayuan

Ang isang hardware VPN router ay naka-install sa bawat opisina at dibisyon kung saan higit sa 1 tao ang nagtatrabaho. Ito ay isang aparato na nagbibigay-daan, sa isang banda, upang payagan ang mga gumagamit na mag-surf sa Internet, at sa kabilang banda, upang lumikha ng mga channel ng VPN. Ang isang VPN channel ay isang secure na naka-encrypt na koneksyon, isang tunel na nagbibigay-daan sa iyong mga user na malayang makipagpalitan ng data at, sa parehong oras, ay hindi naa-access mula sa labas. Upang bumuo ng mga naturang channel, ginagamit namin protocol ng ipsec pagbibigay ng mataas na antas ng lakas ng cryptographic.

Ang figure ay nagpapakita ng isang diagram ng koneksyon ng dalawang opisina.

Kaya, sa tulong ng dalawang router, maaari kaming magbigay ng komunikasyon sa pagitan ng mga opisina.

Tila, magpatakbo ng 1C nang malayuan at gumana. Naku! Dapat tandaan na ang channel na ito ay ipinapasa sa pamamagitan ng Internet, at samakatuwid ay may ilang mga paghihigpit:

  • karaniwan mong kailangang magbayad para sa trapiko;
  • Ang bilis ng internet, at samakatuwid ang bandwidth ng naturang channel, ay medyo mababa.

Ang pagkakaroon ng inilunsad tulad ng isang remote 1C, makuha namin ang "lahat ng bagay hangs" sitwasyon.

Ang problema ay nalutas sa pamamagitan ng paggamit ng terminal access. Nag-set up kami ng isa sa mga server sa central office, na may kapansin-pansing mga kakayahan sa pag-compute, bilang isang terminal server. Upang gawin ito, gamitin ang built-in Serbisyo sa Windows Mga Serbisyo sa Terminal. Dapat mong i-install at i-configure ang bahaging ito, i-activate ang server ng lisensya ng Terminal Services, at i-install ang mga lisensya. Pagkatapos nito kailangan mong i-install ang 1C sa server, at pagkatapos nito ay magagawa mo gumana sa 1C nang malayuan sa terminal.

Nangangahulugan ang teknolohiya ng pag-access sa terminal na ang lahat ng mga gawain na ilulunsad mo sa terminal ay pisikal na ginagawa sa isang malayong server, at tanging ang imahe sa screen ang ipinapadala sa iyo. Ang isang gumagamit na naglunsad ng 1C mula sa Yaroslavl sa terminal ay maaaring hindi alam na ang 1C ay gumagana nang malayuan sa isang server sa Moscow.

Ano ang ginagawa nito? Nabawasan ang trapiko. Pataasin ang bilis ng mga pamamaraan sa pagpoproseso sa isang remote na 1C database. Ang kakayahan para sa mga tao na magtrabaho mula sa kahit saan sa mundo gamit ang isang 1C database nang malayuan, o gamit ang parehong mga file.

Ngunit ang anumang bariles ng pulot ay dapat magkaroon ng sariling langaw sa pamahid. Sa kasong ito, nakasalalay ito sa katotohanan na ang kalidad at ang mismong kakayahang magtrabaho sa terminal ay nakasalalay sa pagiging maaasahan ng koneksyon sa Internet. Kadalasan ang channel ay sapat para sa pag-surf sa Internet, gayunpaman, ang isang medyo maaasahang koneksyon sa Internet ay kinakailangan upang patakbuhin ang terminal. Sa pamamagitan ng pagiging maaasahan, ang ibig naming sabihin ay hindi gaanong bilis kaysa sa kawalan ng packet loss sa network. Halimbawa, ang mga radio channel na ginagamit ng maraming provider ay kadalasang nagbibigay ng napakataas na peak rate, ngunit ang porsyento ng packet loss ay maaaring umabot sa 10%. Sa sitwasyong ito, ang terminal na koneksyon ay masisira sa lahat ng oras, at ito ay magiging mahirap na gumana.

Ngunit sa karamihan ng mga kaso, pinamamahalaan naming itatag ang kakayahang magtrabaho sa terminal gamit ang parehong remote na 1C at iba pang mga application. Nagbibigay-daan ito sa aming mga kliyente na dynamic na bumuo, mabawasan ang mga gastos at matiyak ang napapanatiling operasyon ng mga proseso ng negosyo.

Tandaan na malayong trabaho sa 1C ngayon ay naging isang medyo pangkaraniwang teknolohiya, medyo mature at, kung maayos na na-configure, ay medyo ligtas, at maaaring matagumpay na maisagawa sa loob ng balangkas.

Kahit na ang paksa ay hackneyed, gayunpaman, marami ang madalas na nakakaranas ng mga kahirapan - kung ito ay isang baguhan na tagapangasiwa ng system o isang advanced na gumagamit lamang, na pinilit ng kanyang mga amo na gawin ang mga tungkulin ng isang inhinyero. Paradoxically, sa kabila ng kasaganaan ng impormasyon sa VPN, ang paghahanap ng isang mauunawaan na opsyon ay isang buong problema. Bukod dito, ang isa ay nakakakuha ng impresyon na ang isa ay nagsulat - habang ang iba ay walang pakundangan na kinopya ang teksto. Bilang resulta, ang mga resulta ng paghahanap ay literal na puno ng kasaganaan ng hindi kinakailangang impormasyon, kung saan bihirang mabukod ang kapaki-pakinabang na impormasyon. Samakatuwid, nagpasya ako sa aking sariling paraan upang ngumunguya ang lahat ng mga nuances (marahil ay may darating na madaling gamitin).

Kaya ano ang isang VPN? VPN (VirtualPribadoNetwork- virtual private network) ay isang pangkalahatang pangalan para sa mga teknolohiya na nagpapahintulot sa isa o higit pang mga koneksyon sa network (lohikal na network) na maibigay sa isa pang network (kabilang ang Internet). Depende sa mga protocol na ginamit at ang layunin, ang VPN ay maaaring magbigay ng mga koneksyon ng tatlong uri: node-node, node-network at net-net. Sabi nga nila, no comment.

VPN stereotyped scheme

Binibigyang-daan ka ng VPN na madaling pagsamahin ang isang malayong host sa isang lokal na network ng isang kumpanya o isa pang host, pati na rin pagsamahin ang mga network sa isa. Ang benepisyo ay medyo halata - madali naming ma-access ang enterprise network mula sa VPN client. Bilang karagdagan, pinoprotektahan din ng VPN ang iyong data gamit ang pag-encrypt.

Hindi ako nagpapanggap na ilarawan sa iyo ang lahat ng mga prinsipyo ng pagpapatakbo ng VPN, dahil mayroong isang masa ng mga espesyal na panitikan, at sa totoo lang, ako mismo ay hindi alam ng maraming bagay. Gayunpaman, kung ang iyong gawain ay "Gawin ito!", Kailangan mong mapilit na makisali sa paksa.

Tingnan natin ang isang problema mula sa aking personal na kasanayan, kung kailan kinakailangan na ikonekta ang dalawang opisina sa pamamagitan ng VPN - ang punong tanggapan at ang sangay na tanggapan. Ang sitwasyon ay mas kumplikado sa pamamagitan ng katotohanan na ang punong tanggapan ay may isang video server na dapat na tumanggap ng video mula sa IP camera ng sangay. Narito ang isang maikling gawain para sa iyo.

Maraming solusyon. Ang lahat ay nakasalalay sa kung ano ang mayroon ka. Sa pangkalahatan, ang isang VPN ay madaling bumuo gamit ang isang solusyon sa hardware batay sa iba't ibang mga Zyxel router. Sa isip, maaaring mangyari na ang Internet ay ipinamahagi sa parehong mga opisina ng isang provider at pagkatapos ay hindi ka magkakaroon ng anumang mga problema (kailangan mo lamang makipag-ugnay sa prov). Kung mayaman ang kumpanya, kaya naman nito ang CISCO. Ngunit kadalasan ang lahat ay nalutas sa pamamagitan ng software.

At narito ang pagpipilian ay mahusay - Buksan ang VPN, WinRoute (tandaan na ito ay binabayaran), mga pondo operating system, mga programa tulad ng Hamanchi (sa totoo lang, sa mga bihirang kaso ay makakatulong ito, ngunit hindi ko inirerekumenda na umasa dito - ang libreng bersyon ay may limitasyon ng 5 host at isa pang makabuluhang kawalan ay ang lahat ng iyong koneksyon ay nakasalalay sa Hamanchi host, na hindi palaging mabuti). Sa aking kaso, mainam na gumamit ng OpenVPN, isang libreng programa na madaling makalikha ng maaasahang koneksyon sa VPN. Ngunit kami, gaya ng dati, ay susundan ang landas ng hindi bababa sa paglaban.

Sa aking sangay, ang Internet ay ipinamamahagi sa pamamagitan ng isang gateway batay sa kliyenteng Windows. Sumasang-ayon ako, hindi ang pinakamahusay na solusyon, ngunit sapat para sa tatlong mga computer ng kliyente. Kailangan kong gumawa ng VPN server mula sa gateway na ito. Habang binabasa mo ang artikulong ito, tiwala ka na bago ka sa VPN. Samakatuwid, para sa iyo, nagbibigay ako ng pinakasimpleng halimbawa, na, sa prinsipyo, ay nababagay sa akin.

Ang pamilyang Windows NT ay mayroon nang mga paunang kakayahan sa server na naka-embed. Ang pag-set up ng VPN server sa isa sa mga makina ay hindi magiging mahirap. Bilang isang server, magbibigay ako ng mga halimbawa ng mga screenshot ng Windows 7, ngunit pangkalahatang mga prinsipyo ay magiging katulad ng para sa lumang XP.

Pakitandaan na upang ikonekta ang dalawang network, kailangan mong nagkaroon sila ng ibang saklaw! Halimbawa, sa punong tanggapan, ang hanay ay maaaring 192.168.0.x, at sa sangay na opisina, ito ay maaaring 192.168.20.x (o anumang kulay-abo na hanay ng ip). Ito ay napakahalaga, kaya mag-ingat. Ngayon, maaari kang magsimulang mag-set up.

Pumunta sa VPN server sa Control Panel -> Network Control Center at pangkalahatang pag-access-> baguhin ang mga parameter ng adaptor.

Ngayon pindutin ang Alt key upang ilabas ang menu. Doon, sa item na File, kailangan mong piliin ang "Bagong papasok na koneksyon".

Lagyan ng check ang mga kahon para sa mga user na maaaring mag-log in sa pamamagitan ng VPN. Lubos kong inirerekumenda ang pagdaragdag ng bagong user, pagbibigay sa kanila ng magiliw na pangalan, at pagtatalaga ng password.

Pagkatapos mong gawin ito, kailangan mong piliin sa susunod na window kung paano kumonekta ang mga user. Lagyan ng tsek ang kahon na "Sa pamamagitan ng Internet". Ngayon ay kailangan mo lamang magtalaga ng isang hanay ng mga address sa virtual network. Bukod dito, maaari mong piliin kung gaano karaming mga computer ang maaaring lumahok sa palitan ng data. Sa susunod na window, piliin ang TCP / IP na bersyon 4 na protocol at i-click ang "Properties":

Magkakaroon ka ng kung ano ang mayroon ako sa screenshot. Kung gusto mong makakuha ng access ang kliyente sa lokal na network kung saan matatagpuan ang server, lagyan lang ng check ang kahon na "Pahintulutan ang mga tumatawag na ma-access ang lokal na network". Sa seksyong "Pagtatalaga ng mga IP address", inirerekumenda kong tukuyin nang manu-mano ang mga address ayon sa prinsipyong inilarawan ko sa itaas. Sa aking halimbawa, dalawampu't limang address lang ang ibinigay ko sa hanay, bagama't maaari kong tukuyin ang dalawa at 255.

Pagkatapos nito, mag-click sa pindutang "Pahintulutan ang pag-access".

Awtomatikong gagawa ang system ng isang VPN server na magiging malungkot na naghihintay para sa isang tao na sumali dito.

Ngayon ang tanging natitira ay i-configure ang VPN client. Sa client machine, pumunta din sa Network and Sharing Center at piliin Pag-set up ng bagong koneksyon o network... Ngayon ay kailangan mong piliin ang item "Kumokonekta sa lugar ng trabaho"

Mag-click sa "Gamitin ang aking koneksyon sa Internet at ngayon ay itatapon ka sa window kung saan kakailanganin mong ipasok ang address ng aming Internet gateway sa sangay. Mayroon akong ito sa form na 95.2.x.x

Ngayon ay maaari mong tawagan ang koneksyon, ipasok ang username at password na iyong ipinasok sa server at subukang kumonekta. Kung tama ang lahat, pagkatapos ay kumonekta ka. Sa aking kaso, maaari na akong magpadala ng ping sa anumang computer ng branch office at humiling ng camera. Ngayon ang mono nito ay madaling i-hook sa video server. Baka may iba ka.

Bilang kahalili, kapag kumokonekta, maaaring mag-pop up ang error 800, na nagpapahiwatig na may mali sa koneksyon. Isa itong isyu sa firewall ng kliyente o server. Sa partikular, hindi ko masasabi sa iyo - ang lahat ay tinutukoy sa eksperimentong paraan.

Ganyan kami hindi mapagpanggap na gumawa ng VPN sa pagitan ng dalawang opisina. Maaaring pagsamahin ang mga manlalaro sa parehong paraan. Gayunpaman, huwag kalimutan na hindi pa rin ito magiging isang ganap na server at mas mahusay na gumamit ng mas advanced na mga tool, na tatalakayin ko sa mga susunod na bahagi.

Sa partikular, sa Bahagi 2, titingnan natin ang pag-configure ng OPenVPN para sa Windows at Linux.