Uchta ofis uchun bitta tarmoq. Masofaviy ofislarni birlashtirish. Uskunani tanlashda nimalarga e'tibor berish kerak


Mutaxassis bilan bog'laningGoryainov Denis Texnik direktor +79851256588 Savol bering

Ikki yoki undan ortiq mahalliy tarmoqlarni birlashtirish

Tarmoq vazifalari:

1. bir nechta masofaviy ofis va filiallar o'rtasida tez, xavfsiz va ishonchli ma'lumotlar almashinuvini yo'lga qo'yish;

2.Mobil xodimlarni mahalliy tarmoqqa ulash, xavfsizlikni ta'minlash ulanishlar ;

3. xarajatlarni tejash va nazorat qilish, kommutatsiya qulayligi uchun filiallar uchun yagona telefon kanalini yaratish;

4. markazlashtirilgan Internet-kanalni yaratish va filiallar o‘rtasida trafik taqsimoti;

5. "markaz" masofaviy ofislarni nazorat qilish.

Agar siz ushbu muammolarni hal qilishingiz kerak bo'lsa, ZSC xizmati kompaniyangizga barcha masofaviy filiallar va xodimlarni yagona tarmoqqa ulash imkonini beradi.

Mahalliy tarmoq

Kompaniyalar bir nechta filial va idoralarni birlashtirishi kerak bo'lganda, bugungi kunda pudratchi uchun shunchaki markazlashtirilgan mahalliy tarmoqni o'rnatish va axborot almashinuvini yo'lga qo'yishning o'zi etarli emas.

Mijoz kerak murakkab yechim bilan:

  1. bitta telefon kanali;
  2. boshqariladigan internet-trafik;
  3. avtomatlashtirilgan boshqaruv va masofadan boshqarish imkoniyati texnik qo'llab-quvvatlash filial kompyuterlari va serverlari;
  4. masofaviy xodimlar uchun korporativ ma'lumotlarga bepul kirish.

Shu bilan birga, ushbu barcha axborot oqimlarining yuqori darajadagi xavfsizligi ta'minlanishi kerak.

Bugungi kunda mijoz uchun xizmat mahalliy tarmoqlar zarur " ostida kalit»-pudratchi ishning har bir bosqichini mustaqil ravishda, buyurtmachining minimal ishtirokida bajarishi shart. Natijada, mijoz barcha kerakli AT komponentlari va nazorat va qo'llab-quvvatlash vositalari bilan markazlashtirilgan filialni boshqarish tizimini ta'minlashi kerak. Biz oddiy VPN haqida gapirmayapmiz - biz masofaviy ofislarni "jismoniy" darajaga virtual birlashtirish haqida gapiramiz.

Shu bilan birga, loyihani unutmasligimiz kerak ikki yoki undan ortiq mahalliy tarmoqlarni birlashtirish iqtisodiy bo'lishi kerak, aks holda uning barcha ijobiy natijalari foydasiz bo'ladi.

Agar siz filiallar va masofaviy ofislarni birlashtirishni amalga oshirishingiz yoki uning tarkibiy qismlaridan birini (yagona telefon tarmog'i, muvozanatli Internet-trafik) amalga oshirishingiz kerak bo'lsa, biz hamkorlik uchun ochiqmiz. Raqamli texnologiyalar bozorida katta tajriba va yuqori malakaga ega bo'lgan holda, biz sizga biznesingizning o'ziga xos ehtiyojlariga yo'naltirilgan eng samarali va tejamkor variantni taklif qilishga tayyormiz.

Tarmoqli qurilmalarni birlashtirish

ZSC kompaniyamiz mutaxassislari har qanday ishlab chiqaruvchining uskunalari bilan ishlaydi. Agar sizda o'zingizning marshrutizatorlaringiz bo'lsa, biz ularni masofaviy ofislarning mahalliy tarmoqlarini ulash uchun sozlaymiz.

Mikrotik tarmoq

Bizning amaliyotimizda biz professional uskunalardan foydalanamiz Mikrotik(ko'proq iqtisodiy va ommabop yechim) va Cisco (qimmatroq va funktsional yechim).

Mikrotik uskunasi misolida biz mahalliy tarmoqlarni birlashtirish texnologiyalarini tahlil qilamiz. Juda past bo'lishiga qaramay bozor qiymati analoglari bilan solishtirganda, Mikrotik dasturiy platformasi moslashuvchan, xavfsiz va funktsional ma'lumot almashish kanallarini sozlash imkonini beradi. Ushbu ishlab chiqaruvchining uskunalari bizning ko'plab loyihalarimizda o'zini yaxshi isbotladi idoralar mijozlar. Bundan tashqari, Mikrotik jiddiy byudjetni tejash imkonini beradi.

Mikrotik marshrutizatorlari ma'lumotni xavfsiz jo'natish uchun ettitagacha protokollarni qo'llab-quvvatlaydi, ular ikkinchi IP sarlavhasi tayinlangan holda alohida paketlar sifatida shifrlangan. Ushbu sarlavha qabul qiluvchining IP manzilini va jo'natuvchining IP manzilini o'z ichiga oladi. Ma'lumotni ushlab olishga urinayotganda, firibgar faqat ushbu ma'lumotni ko'radi, shu bilan birga manba kompyuteri va maqsadli kompyuterni aniqlash mumkin emas. Axborot sizib chiqqan taqdirda kodni dekodlash juda ko'p vaqt talab etadi va bu hali aniq emas. Ma'lumotni xavfsiz uzatishning boshqa variantlari ham qo'llaniladi.

Xavfsizlik protokollari:

batafsil ma'lumot

PPTP(tunnel nuqtadan nuqtaga protokoli) - ochiq tarmoqlar ustiga ajratilgan tarmoqlarni qurish uchun ishlatiladi. Unda yuqori unumdorlik, turli shifrlash imkoniyatlari va turli dasturiy platformalardan foydalanish imkoniyati mavjud.

L2TP- PPTP dan farqli o'laroq, u yuqori nosozliklarga chidamlilik va ishonchli xavfsizlikka ega. Ikkala qurilish uchun ham amal qiladi yopiq tarmoqlar ichida ochiq va uzoq qurilmalardan korporativ tarmoqqa kirish uchun, shuningdek, turli ulanish sxemalaridan foydalanish uchun.

IP2IP- paketlardagi ma'lumotlarni shifrlaydi va adresatga ishonchli uzatish uchun unga alohida IP belgilaydi. U Internet orqali marshrutizatorlar o'rtasida tunnel qurish uchun ishlatiladi.

PPPOE- PPTP bilan o'xshashlik bo'yicha ishlaydi, lekin oddiyroq va kamroq resurs talab qiladigan yechim.

IPSec- yopiq tunnel qurishning eng ishonchli variantlaridan biri. Bundan tashqari, ma'lumotlar shifrlangan, o'qish uchun alohida kalitlardan foydalanish kerak. Bu ma'lumotlarni uzatish uchun yuqori, ikki qatlamli xavfsizlikni ta'minlaydi.

VLAN- mantiqiy yuqori tezlikdagi xavfsiz tunnellarni yaratishni ta'minlaydi, ular xavfsizlik nuqtai nazaridan ma'lumotni "jismoniy" uzatishga yaqin, masalan, ofis ichida kabellar orqali.

EoIP- yaratilgan virtual kanallar ustidagi masofaviy ofis va filiallarning shaffof integratsiyalashuvini tashkil qiladi. Internet-trafikni, individual xavfsizlik siyosatini, balanslash va masofaviy filiallar sozlamalarini moslashuvchan tarzda sozlash imkonini beradi. EoIP-dan foydalanish uchun etarlicha keng tarmoqli kengligi talab qilinadi, chunki protokol nazorat qilish uchun trafikning 15% gacha oladi.

Turli xil xavfsizlik protokollarining kombinatsiyasi moslashuvchan, xavfsiz va ishonchli aloqa kanallarini yaratish va muayyan biznes ehtiyojlarini qondirish imkonini beradi. Agar sizga maksimal xavfsizlik kerak bo'lsa, IPSec protokoli mos keladi va agar sizga shifrlangan ma'lumotlarni uzatish uchun oddiyroq kanal kerak bo'lsa - PPTP, L2TP yoki IP2IP. Filiallar va idoralar o'rtasida shaffof va boshqariladigan axborot logistikasini tashkil qilish uchun VLAN va EoIP tanlovga aylanishi mumkin.

Ikki yoki undan ortiq mahalliy tarmoqlarni birlashtirish narxi

Bir ma'noli narxlar ro'yxatini taqdim eting ikki yoki undan ortiq mahalliy tarmoqlarni birlashtirish uchun narxlar barcha loyihalarga taalluqli bo'lishi mumkin emas. Yakuniy hisob-kitobda ko'p narsa vazifalarga, biznes ehtiyojlariga, ish hajmiga, Ethernet rozetkalari soniga, kabelning uzunligiga va boshqa ko'p narsalarga bog'liq.

Biroq, muayyan ish turlariga taalluqli bir nechta asosiy ko'rsatkichlar mavjud:

Ish turi

Birliklar

Narxi, rub.)*

Kabel kanalini o'rnatish

m.

120

Kabelni o'rnatishUTP ( mushuk 5 e) guruhni yotqizishni hisobga olgan holda

m.

44,48

Mahkamlashni hisobga olgan holda gofrirovkalarni o'rnatish

m.

Rozetkani o'rnatishRJ-45

PCS.

200

Belgilanganlarni hisobga olgan holda kabelni markalash materiallar

PCS.

CCTV kameralarini o'rnatish,Wi- Fiball va boshqalar.

PCS.

1500

Kontakt mavjudligi uchun chiziqni sinab ko'rish ("qo'ng'iroq")

PCS.

Strukturaviy tizimni loyihalash ishlari

kv. m.

Tarmoq uskunalarini o'rnatish

PCS.

400

16.02.2017 da amalda (QQSsiz)

Bizning mutaxassislarimiz va dizaynerlarimiz yaratishga qodir ikki yoki undan ortiq mahalliy tarmoqlarni birlashtirish loyihasi har qanday murakkablik va miqyosda, biznesning o'ziga xos ehtiyojlari uchun, uni mijoz bilan muvofiqlashtirish va kalit taslim asosida amalga oshirish.

Kompyuter tarmoqlarini ulash - biz qanday ishlaymiz:

  • biz kompaniyangizda ishlaydigan dastlabki ma'lumotlar, sozlamalar va xavfsizlik siyosatlarini olamiz;
  • biz ularni marshrutizator sozlamalari bilan birlashtiramiz, uskunani sizga kerak bo'lgan talablarga muvofiq sozlaymiz;
  • biz konfiguratsiya qilingan routerni masofaviy filialga (ofisga) yuboramiz va uni ulaymiz;
  • amalga oshiramiz ishga tushirish ;
  • ikki yoki undan ortiq mahalliy tarmoqlarni birlashtirgan holda sizga kalit taslim yechimni taqdim etamiz.

Siz uchun - hamma narsa oddiy! Va biz tomonda katta tajriba, yuqori malaka va o'nlab tugallangan loyihalar... Va bularning barchasi sifat hisobidan emas, balki tez, samarali va jiddiy byudjetni tejash bilan ishlashga imkon beradi.

Va agar siz bizning kompleks mijozimiz bo'lsangiz Premium uchun obuna xizmati, unda ushbu xizmat siz uchun bepul taqdim etiladi (faqat uskunalar to'lanadi)!

Keling, kompleks yechimning alohida komponentlarini batafsil ko'rib chiqaylik "Ikki yoki undan ortiq mahalliy tarmoqlarni birlashtirish".

Masofaviy ofislar o'rtasida telefon aloqasi

Vazifa : masofaviy filiallarda “qisqa” abonent raqamlari bilan yagona telefon tarmog‘ini yaratish, qo‘ng‘iroqlarni amalga oshirishda xarajatlarni tejashni ta’minlash va telefon liniyalaridan foydalanishni nazorat qilish, mobil aloqa xodimlarini telefon tarmog‘iga ulash, yagona raqam joriy etish.

Biz umumiy tarmoqqa ulanganimizda Ethernet markaziy va olis ofislar, shu tariqa biz yagona axborot makonini shakllantirdik. Ushbu bo'shliq ichida har qanday ma'lumotlarni uzatish mumkin: fayllar, video kontent, ovozli kontent va boshqa ma'lumotlar. Kompaniya ichida uzatiladigan ma'lumotlarning eng katta segmenti server ma'lumotlari; mashhurlik bo'yicha ikkinchi o'rinda - ovoz va video mazmuni.

Yagona mahalliy tarmoq sizga uskunani bir-biridan minglab kilometrlarga ajratilishi mumkin bo'lgan xodimlar bir ofisda bo'ladigan tarzda sozlash imkonini beradi.

Statsionar xodimlar

Filiallar va "markaz" o'rtasida yagona telefon tarmog'ini qurish kerak shaxsiy raqamli ofis ATS, markaziy ofisda o'rnatilgan. Filiallarda esa IP-telefonlar ulangan, ular uchun IP-manzillar xuddi bitta ofis tarmog'i kabi sozlangan. PBX va masofaviy telefon bir-birini aniqlaydi, shundan so'ng biz masofaviy ofis uchun "qisqa" raqamni tayinlaymiz. Hammasi xuddi shtab-kvartiraga yangi xodimni qo'shgandek sodir bo'ladi.

Natijada, sizning xodimlaringiz bir-biridan qanchalik uzoqda bo'lishidan qat'i nazar, bitta makonda ishlay boshlaydi. ATSga kiruvchi qo'ng'iroq kelganda, telefon stantsiyasi sizni bir tarmoqda ekanligingizni "o'ylaydi" va qo'ng'iroqni boshqa shaharda yoki hatto mamlakatda tarqatadi. Shu bilan birga, ma'lumotlarni uzatishning yuqori darajasi ta'minlanadi - aloqa xavfsiz shifrlangan tunnellar orqali amalga oshiriladi.

Mobil xodimlar

Mobil xodimlar ham kompaniyaning yagona telefon tarmog'iga ulanishi mumkin. Buning uchun ular tunnelni qo'llab-quvvatlaydigan telefonlardan foydalanishlari kerak. Smartfon ichida shifrlangan tunnel tuzilgan bo‘lib, u telefon ulanganda “ko‘tariladi” Wi-Fi tarmoqlari va ofisingizdagi markaziy ATSdan belgilangan sozlamalar orqali ruxsat etiladi.

Natijada, sizning mobil xodimingiz korporativ telefon tarmog'iga kiradi, tezkor almashtirish uchun "qisqa" raqamga ega bo'lishi va markaziy ATS-da sozlangan qo'ng'iroqlarni amalga oshirish va qabul qilish uchun qulay tariflardan foydalanishi mumkin.

Filiallar o'rtasida yagona telefoniyaning afzalliklari:

  • ichki qo'ng'iroqlarni yo'naltirishning moslashuvchan konfiguratsiyasi;
  • bir nechta operator va tariflardan foydalanish imkoniyati;
  • keyinchalik filial raqamlariga yo'naltirish bilan bitta telefon raqamidan foydalanish imkoniyati;
  • telefon xarajatlarini sezilarli darajada tejash;
  • markazlashtirish va kiruvchi va chiquvchi qo'ng'iroqlarni nazorat qilish.

Masofaviy filiallar orasidagi telefon tarmog'ining ushbu va boshqa ko'plab afzalliklari orasida ushbu xizmatni bugungi kunda juda mashhur qilgan ikkita asosiy narsa bor: birinchi- ko'p kanalli raqamlardan foydalanish; va, ikkinchi- telefon xarajatlarini tejash.

Ko'p kanalli xususiyat tufayli qo'ng'iroqlar olis ofislar o'rtasida qulay tarzda taqsimlanadi. Mijoz bitta raqamga qo'ng'iroq qilishi va ma'lum bir mintaqa, shahar, ofis yoki bo'linmaga ulanishi uchun ovozli menyuni oddiygina sozlash kifoya.

Xarajatlarni tejash markazdagi bitta ATSga ulangan bir nechta operatorlar o'rtasida mantiqiy marshrutlash orqali ta'minlanadi. idora... Ya'ni, butun filiallar tarmog'i uchun telefoniya narxini pasaytirish uchun bosh ofisdagi telefon stantsiyasini bir marta to'g'ri sozlash, unga bir nechta operatorlarni ulash kifoya. Masalan, Rossiyadagi barcha qo'ng'iroqlar bitta IP-telefoniya operatori orqali amalga oshiriladi. Moskvadagi analog qo'ng'iroqlar cheksiz shahar liniyalari orqali, shaharlararo qo'ng'iroqlar esa uchinchi SIP telefoniya operatori orqali amalga oshiriladi. Va shuning uchun - hamma uchun alohida tur aloqa: kiruvchi / chiquvchi, Rossiya bo'ylab qo'ng'iroqlar, mintaqa, shahar, shaharlararo va xalqaro qo'ng'iroqlar, statsionar va mobil telefonlardan.

Bizning mijozlarimiz murakkab konfiguratsiyalarda 2 dan 5 tagacha aloqa operatorlariga ega bo'lib, bu mablag'larning eng maqbul sarflanishini ta'minlaydi. Ular o'nlab idoralarga amalda xizmat ko'rsatish va telefon trafigini savodsiz isrof qilish uchun o'n minglab rubllarni sarflamaslik uchun faqat bitta markaziy uskunaning to'g'ri ishlashini nazorat qilishlari kerak.

Ushbu xizmat haqida batafsil ma'lumotni "Office PBX" bo'limida topishingiz mumkin. Bu erda kompaniya markaziy ofisdan foydalangan holda qancha tejash mumkinligini bilib oling.

Internet tarmog'i

Vazifa : Uzoq ofis yoki filialda barqaror, uzluksiz internet-trafikni ta'minlang

Agar kompaniyaning boshqa shaharda kichik filiali bo'lsa, uning samarali ish doimiy va barqaror Internetga ulangan va barcha biznes jarayonlari ulanish uzilishi bilanoq to'xtaydi, majburiy Internet-kanallarni zaxiralash.

Murojaat qilish orqali zamonaviy uskunalar MikroTik va Cisco’dan biz mijozning biznes jarayonlari to‘xtab qolmasligiga va masofaviy filiallar doimiy ravishda barqaror Internetga ega bo‘lishiga ishonch hosil qila olamiz.

Masofaviy ofislarning Internet-kanallarini muvozanatlash - bu nima?

Ushbu vazifani bajarish uchun biz asosiy va zaxira provayderlarning kanallarini o'rnatamiz. Shu bilan birga, zahira er usti qo'shimcha kanal yoki ancha tejamkor kanal bo'lishi mumkin. uyali aloqa operatorlari(Beeline, MTS, Megafon, Yota, Tele2).

Agar asosiy, qoida tariqasida, kuchliroq bo'lsa, kanal avtomatik ravishda zaxira kanaliga o'tkaziladi. Bunday kalit yordamida uskunaga qayta ruxsat beriladi va xavfsiz shifrlangan ma'lumotlarni uzatish uchun zaxira kanalida tunnel ko'tariladi. Avval uskunaga ikkita Internet-kanal o'rtasida ularning mavjudligiga qarab muvozanatni saqlash mumkin bo'lgan tarzda avtorizatsiya qilishingiz kerak.

Yakuniy foydalanuvchi uchun hech qanday o'zgarishlar bo'lmaydi - u shunchaki zaxira kanali orqali vaqtincha ta'minlanadigan Internetdan foydalanishni davom ettiradi. Va bizning avtomatlashtirilgan tizim monitoring ushbu ma'lumotlarni qabul qiladi, mutaxassislar ma'lumotni ko'radilar va muammoni hal qilish uchun asosiy kanal provayderiga so'rov yuboradilar.

Mijozlarimizni zaxira kanalida saqlamaslikka chaqiramiz, chunki uni ishlatish narxi (mintaqaga qarab 1000 rublgacha) yagona Internet-kanaldagi uzilishlar tufayli biznesdagi mumkin bo'lgan yo'qotishlardan sezilarli darajada past bo'ladi.

Masofaviy ofislarning Internet-kanallarini muvozanatlashning yanada murakkab sxemalari ham mavjud. Masalan, Cisco GRE tunnellarini ishlab chiqdi va amalga oshirdi. Ular tanish tunnellardir, lekin GRE sarlavhasi standart IP-paketning ustiga qo'yilgan. Bunday tunnellar tarmoq ichida domen avtorizatsiyasini amalga oshirish imkonini beradi.

Internet-kanal uchun muvozanat opsiyasi mijozning o'ziga xos ehtiyojlariga bog'liq.

Masofaviy ofislar orasidagi mahalliy tarmoqlar boshqa ulanish variantlari uchun ishlatilishi mumkin, masalan, uchun video konferentsiya ta'minlash yagona xavfsizlik siyosati va boshqalar.

Biz, o‘z navbatida, mijozning IT-infratuzilmasi uzluksiz ishlashi, biznes jarayonlari to‘xtab qolmasligi uchun filial tarmog‘ining shunday konsolidatsiyasini ta’minlashga qodirmiz – biz sizni ta’minlashga tayyormiz. misli ko'rilmagan chidamlilik barcha komponentlar.

Mahalliy ofis tarmoqlarini birlashtirishning asosiy maqsadi geografik taqsimlanganlarga shaffof kirishni ta'minlashdir axborot resurslari tashkilotlar. Ofis tarmoqlarini birlashtirish sizga quyidagi, eng keng tarqalgan vazifalarni hal qilishga imkon beradi:

  • ofis ATSning yagona raqamlash imkoniyatidan foydalanish;
  • foydalanuvchining joriy joylashuvidan qat’i nazar resurslarga (umumiy papkalar, intranet sayti, elektron pochta va h.k.) kirish huquqini ta’minlash;
  • tashkilot xodimlarining turli ofislarda joylashgan resurslarga xavfsiz kirishini ta'minlash (masalan, xodimlarning ofislardan birida o'rnatilgan 1C-korxona serveri bilan ishlashini ta'minlash);
  • terminalga kirish (masofali ish stoli boshqaruvi) yordamida masofaviy kompyuterda ishlash;
  • kompyuterlar, serverlar va boshqa jihozlarni masofadan boshqarish imkoniyati tufayli texnik qo‘llab-quvvatlash xizmatining samaradorligi va tezkorligini oshirish, shuningdek samarali foydalanish Windows o'rnatilgan yordam - masofaviy yordamchi.

Ofis tarmoqlarining integratsiyasini amalga oshirish usullari

Ofislar va masofaviy filiallarning mahalliy tarmoqlarini birlashtirish uchun ular virtual xususiy tarmoqlar texnologiyasidan foydalanadilar - VPN (Virtual Private Network). Ushbu texnologiya uzatilgan ma'lumotlarni kriptografik himoya qilish uchun mo'ljallangan kompyuter tarmoqlari... VPN - bu tarmoq trafigini shifrlaydigan bir nechta VPN shlyuzlari orasidagi tarmoq ulanishlari to'plami. VPN shlyuzlari kriptografik shlyuzlar yoki kriptografik shlyuzlar deb ham ataladi.

Tashkilotning yagona xavfsiz korporativ tarmog'ini yaratishning ikkita usuli mavjud:

  1. uskunalar va Internet-provayderning tegishli xizmatlaridan foydalanish;
  2. foydalanish o'z jihozlari bosh ofis va filiallarda joylashgan.

VPN va xizmatlar internet provayderi tomonidan taqdim etiladi

Ushbu yechim bosh ofis va filiallar bir xil ISP orqali Internetga ulangan bo'lsa qo'llaniladi. Agar kompaniyaning filiallari shaharlar bo'ylab tarqalib ketgan bo'lsa va hatto turli mamlakatlar, sizga kerakli darajada xizmat ko'rsatadigan provayder deyarli yo'q va hatto o'rtacha pul evaziga.

Agar sizning ofislaringiz bir shaharda joylashgan bo'lsa, Internet-provayderingizdan ofislaringizning mahalliy tarmoqlarini yagona tarmoqqa ulashni ta'minlay oladimi yoki yo'qligini tekshiring. Ehtimol, bu yechim siz uchun xarajat nuqtai nazaridan optimal bo'ladi.

Ofislar va filiallar tarmoqlarini mustaqil ravishda birlashtirish

VPN texnologiyasidan foydalangan holda ikkita tarmoqni birlashtirish usuli ingliz tilidagi adabiyotlarda "Peer-to-Peer VPN" yoki "saytdan saytga VPN" deb ataladi. Ikki tarmoq o'rtasida "shaffof shifrlash" rejimi o'rnatiladi. IP tarmoqlarida trafikni shifrlash va uzatish uchun ko'pincha IPSec protokoli qo'llaniladi.

Kichik kompaniyalarning markaziy ofisi va filiallari o'rtasida VPN ulanishlarini (VPN tunnellari) tashkil qilish uchun o'rnatilgan VPN-ni qo'llab-quvvatlaydigan apparat Internet shlyuzlaridan (xavfsizlik devori) foydalanishni tavsiya qilamiz. Bunday shlyuzlarga misol bo'ladi ZyXEL ZyWALL , Netgear xavfsizlik devori , Tekshirish nuqtasi [elektron pochta himoyalangan], va h.k. Ushbu toifadagi mahsulotlar kichik kompaniyalarda foydalanish uchun mo'ljallangan o'rtacha raqam xodimlar soni 5 dan 100 kishigacha. Ushbu qurilmalarni sozlash oson, yuqori ishonchlilik va etarli ishlashga ega.

O'z shtab-kvartiralarida tashkilotlar ko'pincha Microsoft Internet Security va Acceleration Server 2006 (Microsoft ISA 2006), CheckPoint Express, CheckPoint VPN-1 Edge va boshqalar kabi dasturiy ta'minotga asoslangan integratsiyalangan tarmoq himoyasi echimlarini o'rnatadilar. Ushbu himoyalarni boshqarish uchun yuqori malakali xodimlar talab qilinadi, ular qoida tariqasida bosh ofisda mavjud yoki autsorsing kompaniyasidan qarzga olinadi.

Amaldagi uskunadan qat'i nazar, masofaviy ofislarning mahalliy tarmoqlarini yagona tarmoqqa xavfsiz birlashtirish uchun Peer-to-Peer VPN-ni qurishning umumiy sxemasi quyidagicha:

Shuni ham ta'kidlash kerakki, Cisco VPN Concentrator, Continent-K va boshqalar kabi maxsus apparat kripto-shlyuzlari mavjud. Ularni qo'llash sohasi o'rta va yirik kompaniyalar bu erda tarmoq trafigining yuqori samarali shifrlanishini, shuningdek foydalanish imkoniyatini ta'minlash kerak. Masalan, GOST ("Continent-K") ga muvofiq ma'lumotlarni shifrlashni ta'minlang.

Uskunani tanlashda nimalarga e'tibor berish kerak

Virtual xususiy tarmoqni (VPN) tashkil qilish uchun uskunani tanlashda siz quyidagi xususiyatlarga e'tibor berishingiz kerak:

  1. bir vaqtning o'zida qo'llab-quvvatlanadigan vpn tunnellari soni;
  2. ishlash;
  3. vpn tunnel ichidagi tarmoq trafigini filtrlash imkoniyati (bu funksiya barcha Internet shlyuzlarida qo'llanilmaydi);
  4. QoS sifatini boshqarishni qo'llab-quvvatlash (tarmoqlar o'rtasida ovozli trafikni uzatishda juda foydali);
  5. mavjud uskunalar va qo'llaniladigan texnologiyalar bilan muvofiqligi.

Uskuna yechimlari

Arzon narxlardagi apparat Internet shlyuzlarida qurilgan yechimlarning afzalliklari

  • Arzon;
  • Yuqori ishonchlilik (zaxiraga ehtiyoj yo'q, quvvat o'chirilganda hech narsa buzilmaydi);
  • Boshqarish qulayligi;
  • Kam quvvat sarfi;
  • Kam joy egallaydi, har qanday joyga o'rnatilishi mumkin;
  • VPN-ni qurish uchun tanlangan platformaga qarab, vpn shlyuziga qo'shimcha xizmatlarni o'rnatish mumkin: Internet-trafikni virusga qarshi skanerlash, hujumlar va bosqinlarni aniqlash va boshqalar, bu tarmoq xavfsizligining umumiy darajasini sezilarli darajada oshiradi va kamaytiradi. keng qamrovli tarmoq himoyasi yechimining umumiy qiymati ...

kamchiliklari

  • Yechim kengaytirilmaydi, unumdorlikni oshirish uskunani to'liq almashtirish orqali erishiladi;
  • Sozlamalarda kamroq moslashuvchan;
  • Microsoft Active Directory (yoki LDAP) bilan integratsiya odatda qo'llab-quvvatlanmaydi.

Dasturiy yechimlar

Dasturiy yechimlarning afzalliklari

  • Moslashuvchanlik;
  • Masshtablilik, ya'ni. kerak bo'lganda hosildorlikni oshirish qobiliyati;
  • Microsoft Active Directory bilan qattiq integratsiya (Microsoft ISA 2006, CheckPoint)

kamchiliklari

  • Yuqori narx;
  • Boshqaruvning murakkabligi.

Qayerdan boshlash kerak

Uskunani tanlashda sotib olishdan oldin va dasturiy ta'minot(keyingi o'rinlarda dasturiy ta'minot) VPN orqali ofislarning mahalliy tarmoqlarini yagona tarmoqqa birlashtirish loyihasini amalga oshirish uchun siz quyidagi ma'lumotlarga ega bo'lishingiz kerak:

  1. Topologiyani aniqlang:
    • Meshed - har bir sayt avtomatik ravishda istalgan boshqa sayt bilan shifrlangan ulanish o'rnatishi mumkin;
    • Yulduz - Filiallar markaziy saytga xavfsiz ulanishlarni o'rnatishi mumkin;
    • Hub va Spoke - Filiallar bir-biriga markaziy saytdagi hub orqali ulanishi mumkin.
    • Masofaviy kirish (masofaviy kirish) - foydalanuvchilar va guruhlar bir yoki bir nechta saytlarga xavfsiz ulanishlarni tashkil qilishlari mumkin;
    • Yuqoridagi usullarning kombinatsiyasi (masalan, toʻliq tarmoqli topologiyaga ega boʻlgan markaziy VPN-ning barcha aʼzolari bilan filiallar bogʻlanishi mumkin boʻlgan yulduz markazi topologiyasi).
  2. Filiallar soni (bosh ofis uskunalari bir vaqtning o'zida qancha VPN ulanishlarini qo'llab-quvvatlashi kerak);
  3. Markaziy ofis va har bir filialda foydalanuvchilar soni;
  4. Har bir filialda qanday uskunalar va/yoki dasturiy ta'minot qo'llaniladi (mavjud uskunalar va/yoki dasturiy ta'minotdan foydalanish imkoniyatlarini hisobga olish uchun ma'lumotlar zarur);
  5. Filiallarni Internetga ulash bo'yicha ma'lumotlar: IP-manzilni belgilash - dinamik yoki statik, aloqa kanali tezligi;
  6. Boshqaruvga qanday yondashuv axborot xavfsizligi(tarmoq perimetri himoyasi, virusga qarshi himoya) qo'llaniladi: markazlashtirilgan boshqaruv bosh ofis va filiallar bitta xavfsizlik ma'muri (tizim ma'muri) tomonidan yoki har bir filialning o'ziga xosligi bor tizim administratori.

Markaziy ofis tarmog'iga kirish tahdidlarini minimallashtirish uchun tashkilot filiallari tarmoqlarini himoya qilishga e'tibor qaratish lozim. VPN dan foydalanish kafolatlanmaydi ishonchli himoya penetratsiyadan, agar filiallar tarmoqlari ham ishonchli himoyalanmagan bo'lsa. Agar tajovuzkor filial tarmog'iga ruxsatsiz kirish huquqiga ega bo'lsa, u ham kirish huquqiga ega bo'lishi mumkin axborot tizimi bosh ofisning, chunki bosh ofis va filial tarmoqlari VPN orqali yagona tarmoqqa birlashtirilgan.

Hozirgi vaqtda mijozlar tomonidan yuqori talabga ega bo'lgan bir qator echimlar mavjud. Ulardan biri korporativ serverda 1C yoki boshqa ilovalarda masofadan turib ishlaydi. Aytaylik, sizda server bor va siz doimo yo'lda bo'lgan direktorga yoki uyda ishlaydigan buxgalterga ma'lumotlar va ilovalar bilan ishlash qobiliyatini taqdim etishingiz kerak.

Quyida biz Moskvadagi bosh ofisi va Yaroslaldagi uchta bo'linmasi (ofis, ishlab chiqarish va ombor) bo'lgan mijoz uchun yakunlagan loyihamizni tasvirlaymiz. Bizga ofislar va bo'limlarni Moskvadagi serverda o'rnatilgan 1C-da masofadan turib ish olib boriladigan, shuningdek hujjatlar va server bilan ishlash qobiliyatini birlashtirish vazifasi berildi. Elektron pochta markaziy ofisida joylashgan. Shuningdek, biz serverlar va kompyuterlarni masofaviy bo'linmalarda saqlashimiz kerak. Boshqacha qilib aytganda, foydalanuvchilar umumiy hujjatlar (sertifikatlar, buyurtmalar, schyot-fakturalar) bilan ishlashlari, onlayn hisoblarni yuritishlari va elektron pochta bilan ishlashlari mumkin bo'lgan yagona muhitni yaratish kerak.

1C da masofadan turib ishlash

1 dan ortiq kishi ishlaydigan har bir idora va boʻlimda VPN-router apparaturasi oʻrnatilgan. Bu, bir tomondan, foydalanuvchilarga Internetda kezish imkonini beradigan, ikkinchi tomondan, VPN kanallarini yaratish imkonini beruvchi qurilma. VPN kanali - bu xavfsiz shifrlangan ulanish, tunnel bo'lib, u foydalanuvchilarga ma'lumotlarni erkin almashish imkonini beradi va shu bilan birga tashqaridan kirish mumkin emas. Bunday kanallarni qurish uchun biz foydalanamiz ipsec protokoli yuqori darajadagi kriptografik quvvatni ta'minlash.

Rasmda ikkita ofisning ulanish sxemasi ko'rsatilgan.

Shunday qilib, ikkita router yordamida biz ofislar o'rtasidagi aloqani ta'minlay olamiz.

1C ni masofadan turib boshqaring va ishlaydi. Voy! Shuni esda tutish kerakki, ushbu kanal Internet orqali uzatiladi va shuning uchun bir qator cheklovlar mavjud:

  • odatda trafik uchun to'lashingiz kerak;
  • Internet tezligi va shuning uchun bunday kanalning o'tkazish qobiliyati nisbatan past.

Bunday masofaviy 1C ni ishga tushirgandan so'ng, biz "hamma narsa osilgan" vaziyatga ega bo'lamiz.

Muammo terminalga kirish orqali hal qilinadi. Biz markaziy ofisdagi sezilarli hisoblash imkoniyatlariga ega serverlardan birini terminal serveri sifatida o‘rnatdik. Buning uchun o'rnatilgandan foydalaning Windows xizmati Terminal xizmatlari. Siz ushbu komponentni o'rnatishingiz va sozlashingiz, Terminal xizmatlari litsenziya serverini faollashtirishingiz va litsenziyalarni o'rnatishingiz kerak. Shundan so'ng siz serverga 1C ni o'rnatishingiz kerak, keyin esa mumkin terminalda masofadan turib 1C da ishlash.

Terminalga kirish texnologiyasi terminalda ishga tushirilgan barcha vazifalar jismoniy jihatdan uzoq serverda bajarilishini va faqat ekrandagi tasvirni sizga uzatilishini anglatadi. Terminalda Yaroslavldan 1C ni ishga tushirgan foydalanuvchi 1C Moskvadagi serverda masofadan turib ishlashini bilmasligi mumkin.

Bu nima qiladi? Trafikning kamayishi. Masofaviy 1C ma'lumotlar bazasida protseduralarni qayta ishlash tezligini oshirish. Odamlarning dunyoning istalgan nuqtasidan bitta 1C ma'lumotlar bazasi bilan masofadan turib yoki bir xil fayllar bilan ishlash imkoniyati.

Lekin asalning har qanday barrelida o'z chivinlari bo'lishi kerak. Bunday holda, terminalda ishlash sifati va qobiliyati Internetga ulanishning ishonchliligiga bog'liq. Ko'pincha kanal Internetda kezish uchun etarli, ammo terminalni ishlatish uchun juda ishonchli Internet aloqasi talab qilinadi. Ishonchlilik deganda biz tarmoqdagi paketlarni yo'qotishning yo'qligi kabi tezlikni anglatmaymiz. Misol uchun, ko'plab provayderlar tomonidan ishlatiladigan radiokanallar ko'pincha juda yuqori tepalik stavkalarini ta'minlaydi, ammo paketlarni yo'qotish foizi 10% ga yetishi mumkin. Bunday vaziyatda terminal aloqasi doimo uzilib qoladi va ishlash qiyin bo'ladi.

Ammo ko'p hollarda biz terminalda masofaviy 1C va boshqa ilovalar bilan ishlash qobiliyatini o'rnatishga muvaffaq bo'lamiz. Bu bizning mijozlarimizga dinamik rivojlanish, xarajatlarni minimallashtirish va biznes jarayonlarining barqaror ishlashini ta'minlash imkonini beradi.

Eslab qoling masofaviy ish 1C da hozirda juda keng tarqalgan texnologiyaga aylandi, juda etuk va agar to'g'ri sozlangan bo'lsa, juda xavfsiz va ushbu doirada muvaffaqiyatli bajarilishi mumkin.

Mavzu buzilgan bo'lsa-da, shunga qaramay, ko'pchilik qiyinchiliklarga duch keladi - xoh yangi tizim ma'muri bo'ladimi yoki xoh o'z xo'jayinlari tomonidan muhandislik funktsiyalarini bajarishga majbur bo'lgan ilg'or foydalanuvchi bo'ladimi. Ajablanarlisi shundaki, VPN-da ma'lumotlarning ko'pligiga qaramay, tushunarli variantni topish butun muammodir. Bundan tashqari, kimdir yozgandek taassurot qoldiradi - boshqalari esa matnni beadablik bilan ko'chirgan. Natijada, qidiruv natijalari tom ma'noda juda ko'p keraksiz ma'lumotlar bilan to'lib-toshgan bo'lib, ulardan foydali ma'lumotlarni kamdan-kam hollarda ajratib olish mumkin. Shuning uchun, men barcha nuanslarni chaynashga o'zim qaror qildim (balki kimdir yordamga keladi).

Xo'sh, VPN nima? VPN (VirtualShaxsiyTarmoq- virtual xususiy tarmoq) - bir yoki bir nechta tarmoq ulanishlarini (mantiqiy tarmoq) boshqa tarmoq (shu jumladan Internet) orqali ta'minlash imkonini beruvchi texnologiyalarning umumlashtirilgan nomi. Amaldagi protokollar va maqsadga qarab, VPN uch turdagi ulanishni ta'minlaydi: tugun-tugun, tugun-tarmoq va net-net. Ular aytganidek, sharh yo'q.

VPN stereotip sxemasi

VPN sizga masofaviy xostni kompaniyaning yoki boshqa xostning mahalliy tarmog'i bilan osongina birlashtirishga, shuningdek, tarmoqlarni bittaga birlashtirishga imkon beradi. Foyda juda aniq - biz VPN mijozidan korporativ tarmoqqa osongina kira olamiz. Bundan tashqari, VPN ham ma'lumotlaringizni shifrlash bilan himoya qiladi.

Men sizga VPN ishlashning barcha tamoyillarini tasvirlab berishga da'vo qilmayman, chunki juda ko'p maxsus adabiyotlar mavjud va rostini aytsam, men o'zim ham ko'p narsalarni bilmayman. Shunga qaramay, agar sizning vazifangiz "Buni qiling!" bo'lsa, siz zudlik bilan mavzuga aralashishingiz kerak.

Keling, shaxsiy amaliyotimdagi muammoni ko'rib chiqaylik, VPN orqali ikkita ofisni - bosh ofis va filialni ulash kerak bo'lganda. Bosh ofisda filialning IP-kamerasidan videoni qabul qilishi kerak bo‘lgan videoserver mavjudligi vaziyatni yanada murakkablashtirdi. Mana siz uchun qisqacha vazifa.

Ko'p echimlar mavjud. Hammasi qo'lingizda nima borligiga bog'liq. Umuman olganda, VPN-ni turli Zyxel routerlariga asoslangan apparat yechimi yordamida qurish oson. Ideal holda, Internet ikkala ofisga bitta provayder tomonidan tarqatilishi mumkin va keyin sizda hech qanday muammo bo'lmaydi (siz faqat provayderga murojaat qilishingiz kerak). Agar kompaniya boy bo'lsa, u CISCO-ni sotib olishga qodir. Lekin odatda hamma narsa dasturiy ta'minot orqali hal qilinadi.

Va bu erda tanlov juda yaxshi - Open VPN, WinRoute (u to'langanligini unutmang), mablag'lar operatsion tizim, Hamanchi kabi dasturlar (to'g'risini aytsam, kamdan-kam hollarda yordam berishi mumkin, lekin men unga ishonishni tavsiya etmayman - bepul versiyada 5 ta xost chegarasi mavjud va yana bir muhim kamchilik shundaki, sizning barcha ulanishingiz Hamanchi xostiga bog'liq, bu har doim ham yaxshi emas). Mening holatimda, ishonchli VPN ulanishini osongina yaratadigan bepul dastur bo'lgan OpenVPN-dan foydalanish ideal bo'lar edi. Ammo biz, har doimgidek, eng kam qarshilik yo'lidan boramiz.

Mening filialimda Internet Windows mijoziga asoslangan shlyuz orqali tarqatiladi. Qabul qilaman, eng yaxshi yechim emas, lekin uchta mijoz kompyuterlari uchun etarli. Men ushbu shlyuzdan VPN serverini yaratishim kerak. Ushbu maqolani o'qiyotganingizda, siz VPN uchun yangi ekanligingizga ishonchingiz komil. Shuning uchun, men siz uchun eng oddiy misolni keltiraman, bu menga printsipial jihatdan mos keladi.

Windows NT oilasi allaqachon o'rnatilgan oddiy server imkoniyatlariga ega. Mashinalardan birida VPN serverini o'rnatish qiyin bo'lmaydi. Server sifatida men Windows 7 ning skrinshotlariga misollar keltiraman, lekin umumiy tamoyillar eski XP bilan bir xil bo'ladi.

E'tibor bering, ikkita tarmoqni ulash uchun sizga kerak ular boshqa diapazonga ega edilar! Masalan, bosh ofisda diapazon 192.168.0.x, filialda esa 192.168.20.x (yoki har qanday kulrang ip diapazoni) boʻlishi mumkin. Bu juda muhim, shuning uchun ehtiyot bo'ling. Endi siz sozlashni boshlashingiz mumkin.

Boshqarish panelidagi VPN serveriga o'ting -> Tarmoqni boshqarish markazi va umumiy kirish-> adapter parametrlarini o'zgartirish.

Endi menyuni ochish uchun Alt tugmasini bosing. U erda "Fayl" bandida "Yangi kiruvchi ulanish" ni tanlashingiz kerak.

VPN orqali tizimga kirishi mumkin bo'lgan foydalanuvchilar uchun katakchalarni belgilang. Men yangi foydalanuvchi qo'shishni, ularga do'stona ism berishni va parol belgilashni tavsiya qilaman.

Buni qilganingizdan so'ng, keyingi oynada foydalanuvchilar qanday ulanishini tanlashingiz kerak. "Internet orqali" katagiga belgi qo'ying. Endi siz virtual tarmoqqa bir qator manzillarni belgilashingiz kerak. Bundan tashqari, ma'lumotlar almashinuvida qancha kompyuter ishtirok etishini tanlashingiz mumkin. Keyingi oynada TCP / IP 4-versiya protokolini tanlang va "Xususiyatlar" tugmasini bosing:

Skrinshotda menda bo'lgan narsaga ega bo'lasiz. Agar siz mijozning server joylashgan mahalliy tarmoqqa kirishini istasangiz, "Qo'ng'iroq qiluvchilarga mahalliy tarmoqqa kirishga ruxsat berish" katagiga belgi qo'yish kifoya. "IP manzillarini belgilash" bo'limida men yuqorida tavsiflangan printsipga muvofiq manzillarni qo'lda ko'rsatishni tavsiya qilaman. Mening misolimda men diapazonga atigi yigirma beshta manzilni berdim, garchi men faqat ikkita va 255 ni belgilashim mumkin edi.

Shundan so'ng, "Kirishga ruxsat berish" tugmasini bosing.

Tizim avtomatik ravishda VPN serverini yaratadi, u kimdir unga qo'shilishini kutadi.

Endi qolgan yagona narsa - VPN mijozini sozlash. Mijoz mashinasida, shuningdek, Tarmoq va almashish markaziga o'ting va tanlang Yangi ulanish yoki tarmoq o'rnatilmoqda... Endi siz elementni tanlashingiz kerak "Ish joyiga ulanish"

"Mening Internet ulanishimdan foydalanish" tugmasini bosing va endi siz filialdagi Internet shlyuzimiz manzilini kiritishingiz kerak bo'lgan oynaga tushasiz. Menda 95.2.x.x shaklida mavjud

Endi siz ulanishga qo'ng'iroq qilishingiz, serverga kiritgan foydalanuvchi nomi va parolni kiritishingiz va ulanishga harakat qilishingiz mumkin. Agar hamma narsa to'g'ri bo'lsa, siz ulanasiz. Mening holimda, men allaqachon istalgan filial kompyuteriga ping yuborishim va kamera so'rashim mumkin. Endi uning mono-ni video serverga ulash oson. Sizda boshqa narsa bo'lishi mumkin.

Shu bilan bir qatorda, ulanishda 800 xatosi paydo bo'lishi mumkin, bu ulanishda nimadir noto'g'ri ekanligini ko'rsatadi. Bu mijoz yoki server xavfsizlik devori muammosi. Xususan, men sizga ayta olmayman - hamma narsa eksperimental tarzda aniqlanadi.

Biz ikkita ofis o'rtasida VPN yaratdik. O'yinchilarni xuddi shu tarzda birlashtirish mumkin. Ammo shuni unutmangki, bu hali ham to'liq server bo'lmaydi va men keyingi qismlarda gaplashadigan ilg'or vositalardan foydalanish yaxshiroqdir.

Xususan, 2-qismda biz Windows va Linux uchun OPenVPN-ni sozlashni ko'rib chiqamiz.