سيسکو به پارسی

 

برای تشریح VPN ابتدا نگاهی به معنی لغوی آن می اندازیم:

Virtual Private Network شبکه خصوصی مجازی شبکه ای است که بر روی شبکه ای دیگر تشکیل شده است. شبکه زیرین که کار زیرساخت را ایفا میکند معمولا شبکه ای عمومی (نظیر اینترنت) است…

 

برای توضیح واژگانی نظیر Transparent و Virtual میتوان چنین عنوان کرد:

 

اگر چیزی را دیدی و آنجا بود – حقیقی است = Real

اگر چیزی را دیدی اما آنجا نبود Virtual (مجازی) است.

اگر چیزی را ندیدی اما آنجا بود Transparent است (شفاف)

اگر چیزی را ندیدی و آنجا هم نبود … یکجای کار اشکال داره!

 

حال این اصل ها را به مثال های شبکه برمیگردانیم:

یک سرور که IP Public و درون Rack قرار دارد یک سرور حقیقی است Real Server

یک سرور که قابل دسترسی از طریق IP است اما روی VMware نصب شده و روی سخت افزار مستقیما عمل نمی کند Virtual است.

یک Firewall که در مسیر Traceroute ما دیده نمیشود و قابل Ping و ردیابی نیست Transparent است.

 

شبکه VPN همانطور که از اسمش پیداست Virtual است … بصورت فیزیکی ساختاری ندارد. وقتی مخابرات برای سازمانی با Frame Relay یا ATM و X.25 یا حتی بصورت Leased Line های مختلف ارتباط شبکه نقاط دوردست را فراهم میکند به آن Overlay Network یا Overlay VPN Model میگوییم. یعنی بنای شبکه شما روی شبکه Provider (سرویس دهنده) نهاده شده است. اگر Peer-to-peer VPN باشد یعنی شبکه شما بصورت پویا با شبکه سرویس دهنده ارتباط برقرار میکند نظیر MPLS VPN.

 

اما من فکر میکنم بیشتر منظور شما VPN روی اینترنت است…

 

کلا دو مدل دسترسی به VPN در Internet پیدا سازی میشود:

• Remote Access
• Site to Site

مدل Remote Access امکان دسترسی کاربر را از منزلش به شبکه محیط کار فراهم میکند. بطور مثال من خیلی از روز ها جلسات شرکت و کارهایم را از راه دور، از منزل یا در سفر انجام میدهم برای این کار از Cisco VPN Client یا Cisco AnyConnect استفاده میکنم.

در Remote Access بسته به نوع تکنولوژی و تولیدکننده از پروتکل های متنوعی استفاده میشود PPTP و L2TP روی محصولات Microsoft (سرورهای Remote Access یا RRAS) پشتیبانی میشود. PPTP یا Point to Point Tunneling Protocol پروتکلی است که امکان VPN را بدون رمزنگاری و Encryption محیا میکند. روش آن  PPP و GRE ادغام شده در یک پروتکل است که روی پورت 1723 TCP کار میکند. از ویندوز 95 پشتیبانی این پروتکل استاندارد در ویندوز گنجانده شد و با RFC2637 توسط IETF استاندارد شد:

http://tools.ietf.org/html/rfc2637

PPTP را در سیسکو با دستورات VPDN میتوان فعال کرد هر چند که سیسکو پروتکل L2F را نیز ارائه کرد. در سمت دیگر برای Encryption و بالابردن امنیت و رمزنگاری L2TP در سال 1999 ارائه شد.

 

محبوبترین پروتکل برای VPN؛ IPSEC است. در سیسکو برای فعال کردن آن به IOS ی با ويژگی های Adv-Security نیاز داریم. سیسکو Cisco VPN Client را برای ویندوز، Mac ، Linux و iPhone ارائه کرده تا بتوان از تمام کلاینت های موجود به VPN وصل شد و اطلاعات Encrypt شده را رد و بدل کرد.

جدیدترین نوع VPN استفاده از SSL و TLS است که بدون نیاز به نرم افزار خاصی در سمت کاربر و تنها به کمک مرورگر میتوان به آن وصل شد و کار کرد. بطور مثال SSL VPN را روی Cisco ASA در شرکت فعال میکنیم و از منزل با وصل شدن به صفحه Webpage شرکت و وارد کردن Username Password به File Server و RDP های روی سرورها درون صفحه Browser متصل میشویم. بدین صورت از CafeNet ها و کامپیوترهایی که برنامه VPN ندارند نیز میتوان برای کار استفاده کرد.

مدل دوم پیاده سازی VPN ، بنام Site to Site یا LAN to LAN برای ایجاد VPN بین دو یا چند شبکه است بطور مثال یک شعبه کوچک بانکی با پنج تا ده کلاینت به یک شعبه مرکزی VPN میکند (Tunnel)

در این مدل اگر نیازی به رمزنگاری نباشد میتوان از پروتکل GRE یا Generic Routing Encapsulation استفاده کرد. در صورتیکه به Encryption نیاز باشد از IPsec همراه با ISAKMP و IKE برای ردوبدل کردن کلید و Certificate استفاده میشود. استفاده از GRE همراه با IPsec امکان خوبی برای Routing و همچنین انتقال امن دیتا را فراهم میسازد.

سیسکو EZVPN را برای ساده کردن پیاده سازی Site 2 Site VPN ارائه کرده که بدین صورت با IP های Dynamic اینترنت نیز بتوان از VPN استفاده کرد.

DMVPN و GETVPN دو مدل دیگر VPN برای شبکه هایی است که میخواهند تعداد زیادی از شعب را روی اینترنت به هم متصل کنند در این مدل غیر از سایت های اصلی بقیه میتوانند از IP داینامیک و ADSL استفاده کنند که نیازی به IP Static نباشد. (پایین آوردن هزینه)

انواع دیگری از VPN نیز داریم که از حوصله و سطح بحثمان خارج است اما در دنیای امروز برای VPN از تکنولوژی IPsec برای Tunnel بین شبکه ها؛ SSL برای Remote-access ها و از TLS برای ipphone ها استفاده میشود.

جالب اینجاست که تمامی تکنولوژی های VPN روی یک روتر سری 1800 یا 2800 سیسکو بهمراه IOS مورد نیاز، قابل پیاده سازی است. قبلا سیسکو VPN Concentrator را ارائه میکرد که با ارائه Cisco ASA تولید آن متوقف شد.