آموزش و تعریف شبکه های اختصاصی مجازی (VPN)

 

 

                                           

                                                                                                                                                  

 

 

 

 

 

 

نقش روتر(Router ) در شبکه های اطلاعاتی vpn networking

 

چکیده:
 

شبکه جهانی اینترنت بخش حیاتی و غیرقابل تفکیک جامعه جهانی است. در واقع شبکه اینترنت ستون فقرات ارتباطات کامپیوتری جهانی در دهه

 ۱۹۹۰ است زیرا اساسا به تدریج بیشتر شبکه ها را به هم متصل کرده است.در حال حاضر رفته رفته تفکرات منطقه ای و محلی حاکم بر فعالیت های

تجاری جای خود را به تفکرات جهانی و سراسری داده اند. امروزه با سازمانهای زیادی برخورد می نمائیم که در سطح یک کشور دارای دفاتر فعال و

 حتی در سطح دنیا دارای دفاتر متفاوتی می باشند . تمام سازمانهای فوق قبل از هر چیز بدنبال یک اصل بسیار مهم می باشند : یک روش سریع ،

ایمن و قابل اعتماد بمنظور برقراری ارتباط با دفاتر و نمایندگی در اقصی نقاط یک کشور و یا در سطح دنیا بدین منظوربایستی یک شبکه‏‏‌ی گسترده‏ی

 خصوصی بین شعب این شرکت ایجاد گردد. شبکه‏‌های اینترنت که فقط محدود به یک سازمان یا یک شرکت می‏باشند، به دلیل محدودیت‌های گسترشی

نمی‏توانند چندین سازمان یا شرکت را تحت پوشش قرار دهند. شبکه‏‌های گسترده نیز که با خطوط استیجاری راه‌‏اندازی می‏شوند، در واقع شبکه‏‌های

 گسترده‏ی امنی هستند که بین مراکز سازمان‌ها ایجاد می‏شوند. پیاده‌‏سازی این شبکه‏‌ها نیاز به هزینه‌ زیادی دارد راه‌ حل غلبه بر این مشکلات، راه‌اندازی یک VPN است.
 

کلیدواژه‌ها: شبکه های مجازی – VPN – تونل کشی-رمز نگاری
 

مقدمه
 

VPN در یک تعریف کوتاه شبکه‌ای از مدارهای مجازی برای انتقال ترافیک شخصی است. در واقع پیاده‌‏سازی شبکه‌ی خصوصی یک شرکت یا سازمان

را روی یک شبکه عمومی، VPN گویند.
 

شبکه‏‌های رایانه‏ای به شکل گسترده‏ای در سازمان‏ها و شرکت‏های اداری و تجاری مورد استفاده قرار می‏گیرند. اگر یک شرکت از نظر جغرافیایی در یک

نقطه متمرکز باشد، ارتباطات بین بخش‏های مختلف آن‌را می‌توان با یک شبکه‏‏‌ی محلی برقرار کرد. اما برای یک شرکت بزرگ که دارای شعب مختلف در

نقاط مختلف یک کشور و یا در نقاط مختلف دنیا است و این شعب نیاز دارند که با هم ارتباطاتِ اطلاعاتیِ امن داشته‏ باشند، بایستی یک شبکه‏‏‌ی

گسترده‏ی خصوصی بین شعب این شرکت ایجاد گردد. شبکه‏‌های اینترانت که فقط محدود به یک سازمان یا یک شرکت می‏باشند، به دلیل

محدودیت‌های گسترشی نمی‏توانند چندین سازمان یا شرکت را تحت پوشش قرار دهند. شبکه‏‌های گسترده نیز که با خطوط استیجاری راه‌‏اندازی

می‏شوند، در واقع شبکه‏‌های گسترده‏ی امنی هستند که بین مراکز سازمان‌ها ایجاد می‏شوند. پیاده‌‏سازی این شبکه‏‌ها علی‏رغم درصد پایین بهره‌وری،

نیاز به هزینه‌ زیادی دارد. زیرا، این‏ شبکه‏‌ها به دلیل عدم اشتراک منابع با دیگران، هزینه‏ مواقع عدم استفاده از منابع را نیز بایستی پرداخت کنند. راه‌حل

غلبه بر این مشکلات، راه‌اندازی یک VPN است.
 

فرستادن حجم زیادی از داده از یک کامپیوتر به کامپیوتر دیگر مثلا” در به هنگام رسانی بانک اطلاعاتی یک مشکل شناخته شده و قدیمی است . انجام

این کار از طریق Email به دلیل محدودیت گنجایش سرویس دهنده Mail نشدنی است .استفاده از FTP هم به سرویس دهنده مربوطه و همچنین ذخیره

سازی موقت روی فضای اینترنت نیاز دارد که اصلا” قابل اطمینان نیست .
 

یکی از راه حل های اتصال مستقیم به کامپیوتر مقصد به کمک مودم است که در اینجا هم علاوه بر مودم ، پیکر بندی کامپیوتر به عنوان سرویس دهنده RAS

 لازم خواهد بود . از این گذشته ، هزینه ارتباط تلفنی راه دور برای مودم هم قابل تامل است . اما اگر دو کامپیوتر در دو جای مختلف به اینترنت متصل

باشند می توان از طریق سرویس به اشتراک گذاری فایل در ویندوز بسادگی فایل ها را رد و بدل کرد . در این حالت ، کاربران می توانند به سخت دیسک

کامپیوترهای دیگر همچون سخت دیسک کامپیوتر خود دسترسی داشته باشند . به این ترتیب بسیاری از راه های خرابکاری برای نفوذ کنندگان بسته

می شود .
 

شبکه های شخصی مجازی یا( VPN ( Virtual private Networkها اینگونه مشکلات را حل میکند . VPN به کمک رمز گذاری روی داده ها ، درون یک

شبکه کوچک می سازد و تنها کسی که آدرس های لازم و رمز عبور را در اختیار داشته باشد می تواند به این شبکه وارد شود . مدیران شبکه ای که

بیش از اندازه وسواس داشته و محتاط هستند می توانند VPN را حتی روی شبکه محلی هم پیاده کنند . اگر چه نفوذ کنندگان می توانند به کمک برنامه

های Packet snifter جریان داده ها را دنبال کنند اما بدون داشتن کلید رمز نمی توانند آنها را بخوانند.
 

یک مثال :
 

فرض نمائید درجزیره ای در اقیانوسی بزرگ، زندگی می کنید. هزاران جزیره در اطراف جزیره شما وجود دارد. برخی از جزایر نزدیک و برخی دیگر

دارای مسافت طولانی با جزیره شما میباشند متداولترین روش بمنظور مسافرت به جزیره دیگر، استفاده از یک کشتی مسافربری است مسافرت با

کشتی مسافربری ، بمنزله عدم وجود امنیت است . در این راستا هر کاری را که شما انجام دهید،توسط سایر مسافرین قابل مشاهده خواهد

بود.فرض کنید هر یک از جزایر مورد نظر به مشابه یک شبکه محلی(LAN) و اقیانوس مانند اینترنت باشند. مسافرت با یک کشتی مسافربری مشابه

برقراری ارتباط با یک سرویس دهنده وب و یا سایر دستگاه‌های موجود در اینترنت است.شما دارای هیچگونه کنترلی بر روی کابل ها و روترهای موجود

در اینترنت نمیباشید.(مشابه عدم کنترل شما بعنوان مسافر کشتی مسافربری بر روی سایر مسافرین حاضر در کشتی ) .در صورتیکه تمایل به ارتباط

بین دو شبکه اختصاصی از طریق منابع عمومی وجود داشته باشد، اولین مسئله ای که با چالش های جدی برخورد خواهد کرد، امنیت خواهد بود.
 

فرض کنید، جزیره شما قصد ایجاد یک پل ارتباطی با جزیره مورد نظر را داشته باشد .مسیر ایجاد شده یک روش ایمن ، ساده و مستقیم برای مسافرت

ساکنین جزیره شما به جزیره دیگر را فراهم می آورد. اما ایجاد و نگهداری یک پل ارتباطی بین دو جزیره مستلزم صرف هزینه های بالائی خواهد بود.

(حتی اگر جزایر در مجاورت یکدیگر باشند).با توجه به ضرورت و حساسیت مربوط به داشتن یک مسیر ایمن و مطمئن ، تصمیم به ایجاد پل ارتباطی بین

دو جزیره گرفته شده است. در صورتیکه جزیره شما قصد ایجاد یک پل ارتباطی با جزیره دیگر را داشته باشد که در مسافت بسیار طولانی نسبت به

جزیره شما واقع است ، هزینه های مربوط بمراتب بیشتر خواهد بود. وضعیت فوق ، نظیر استفاده از یک اختصاصی Leased است. ماهیت پل های

ارتباطی(خطوط اختصاصی) از اقیانوس (اینترنت) متفاوت بوده و کماکان قادر به ارتباط جزایر شبکه های( LAN) خواهند بود. سازمانها و موسسات

متعددی از رویکرد فوق ( استفاده از خطوط اختصاصی) استفاده می نمایند. مهمترین عامل در این زمینه وجود امنیت و اطمینان برای برقراری ارتباط

هر یک سازمانهای مورد نظر با یکدیگر است . در صورتیکه مسافت ادارات و یا شعب یک سازمان از یکدیگر بسیار دور باشد ، هزینه مربوط به برقرای

ارتباط نیز افزایش خواهد یافت
 

با توجه به موارد گفته شده ، چه ضرورتی بمنظور استفاده از VPN وجود داشته و VPN تامین کننده ، کدامیک از اهداف و خواسته های مورد نظر است ؟

با توجه به مقایسه انجام شده در مثال فرضی ، می توان گفت که با استفاده از VPN به هریک از ساکنین جزیره یک زیردریائی داده می شود. زیردریائی

فوق دارای خصایص متفاوت نظیر :
 

- دارای سرعت بالا است .
 

- هدایت آن ساده است .
 

- قادر به استتار( مخفی نمودن) شما از سایر زیردریا ئیها و کشتی ها است .
 

- قابل اعتماد است .
 

- پس از تامین اولین زیردریائی ، افزودن امکانات جانبی و حتی یک زیردریائی دیگرمقرون به صرفه خواهد بود
 

- در مدل فوق ، با وجود ترافیک در اقیانوس ، هر یک از ساکنین دو جزیره قادر به تردد در طول مسیر در زمان دلخواه خود با رعایت مسایل ایمنی

می‌باشند
 

مثال فوق دقیقا” بیانگر تحوه عملکرد VPN است . هر یک از کاربران از راه دور شبکه قادربه برقراری ارتباطی امن و مطمئن با استفاده از یک محیط

انتقال عمومی ( نظیر اینترنت ) با شبکه محلی (LAN) موجود در سازمان خود خواهند بود. توسعه یک VPN افزایش تعداد کاربران از راه دور و یا افزایش

مکان های مورد نظر ) بمراتب آسانتر از شبکه هائی است که از خطوط اختصاصی استفاده می نمایند. قابلیت توسعه فراگیر از مهمترین ویژگی های

یک VPN نسبت به خطوط اختصاصی است .
 

معایب ومزایا
 

با توجه به اینکه در یک شبکه VPN به عوامل متفاوتی نظیر : امنیت ، اعتمادپذیری ، مدیریت شبکه و سیاست ها نیاز خواهد بود. استفاده از VPN برای

یک سازمان دارای مزایای متعددی مانند :
 

● گسترش محدوه جغرافیائی ارتباطی
 

● بهبود وضعیت امنیت
 

● کاهش هزینه های عملیاتی در مقایسه با روش های سنتی نظیر WAN
 

● کاهش زمان ارسال و حمل اطلاعات برای کاربران از راه دور
 

● بهبود بهره وری
 

● توپولوژی آسان ،… است .
 

برخی از جوانب منفی شبکه سازی اینترنتی به این شرح است :
 

● شک نسبت به اطلاعات دریافت شده
 

● استفاده از منابع غیرموثق
 

● تفسیر بد از اطلاعات رسیده
 

● سرقت ایده ها
 

● نبود مهارتهای حرفه ای در کار با اطلاعات
 

● فروش اطلاعات یا استفاده نابجای از اطلاعات
 

● عدم اطمینان از کارایی سرویس و تأخیر در ارتباطات
VPN

 نسبت به شبکه‏‌های پیاده‌‏سازی شده با خطوط استیجاری، در پیاده‌‏سازی و استفاده، هزینه کمتری صرف می‏کند. اضافه وکم کردن گره‌ها یا شبکه‌های

محلی به VPN، به خاطر ساختار آن، با هزینه‌ کمتری امکان‏پذیر است. در صورت نیاز به تغییر همبندی شبکه‌ی خصوصی، نیازی به راه‌‏اندازی مجدد

فیزیکی شبکه نیست و به صورت نرم‏افزاری، همبندی شبکه قابل تغییر است.
 

تونل کشی
 

مجازی بودن در VPN به این معناست که شبکه‏‌های محلی و میزبان‏های متعلق به عناصر اطلاعاتی یک شرکت که در نقاط مختلف از نظر جغرافیایی

قرار دارند، همدیگر را ببینند و این فاصله‏‌ها را حس نکنند. VPNها برای پیاده‌‏سازی این خصوصیت از مفهومی به نام تونل‌‏کشی(tunneling)استفاده

می‏کنند.

در تونل‌‏کشی، بین تمامی عناصر مختلف یک VPN، تونل ‏زده می‏شود. از طریق این تونل، عناصر به صورت شفاف همدیگر را می‏بینند
 

در روش فوق تمام بسته اطلاعاتی در یک بسته دیگر قرار گرفته و از طریق شبکه ارسال خواهد شد. پروتکل مربوط به بسته اطلاعاتی خارجی (

پوسته ) توسط شبکه و دو نفطه (ورود و خروج بسته اطلاعاتی )قابل فهم میباشد. دو نقطه فوق را “اینترفیس های تونل ” می گویند. روش فوق

مستلزم استفاده از سه پروتکل است :
 

● پروتکل حمل کننده : از پروتکل فوق شبکه حامل اطلاعات استفاده می نماید.
 

● پروتکل کپسوله سازی: از پروتکل هائی نظیر: IPSec,L2F,PPTP,L2TP,GRE استفاده میگردد.
 

پروتکل مسافر: از پروتکل هائی نظیر IPX,IP,NetBeui بمنظور انتقال داده های اولیه استفاده می شود.
 

 

 

 

 

 

 

 

 

 

مفهوم تونل کشی در VPN

 

برای تونل‌‏کشی بین عناصر یک VPN از مفهومی به نام Encapsulation لفافه‏بندی بسته‏‌های اطلاعاتی استفاده می‏شود. تمام عناصر یک VPN دارای

آدرس‏های اختصاصی هستند. همه این عناصر از آدرس‏های اختصاصی یکدیگر مطلعند و هنگام ارسال داده بین یکدیگر از این آدرس‏ها استفاده می‏کنند.

این وظیفه‏ی یک VPN است که بسته‏‌های اطلاعاتی را در بسته‏‌های انتقالی روی شبکه عمومی لفافه‏بندی کند و پس از انتقال امن از محیط ارتباط

عمومی، آن بسته‏‌ها را از حالت لفافه‏بندی خارج نموده و با توجه به آدرس قبل از لفافه‏بندی، بسته‏‌ها را به عنصر گیرنده برساند. به این‌ ترتیب ایجاد VPN

 بر روی یک شبکه‏‏‌ی عمومی، با پیاده‌‏سازی دو جنبه‏ی خصوصی‏گری و مجازی‏گری امکان‏پذیر است.
 

عملکرد Tunneling مشابه حمل یک کامپیوتر توسط یک کامیون است . فروشنده ، پس از بسته بندی کامپیوتر ( پروتکل مسافر ) درون یک جعبه (

پروتکل کپسوله سازی ) آن را توسط یک کامیون ( پروتکل حمل کننده ) از انبار خود ( ایترفیس ورودی تونل ) برای متقاضی ارسال می دارد. کامیون (

پروتکل حمل کننده ) از طریق بزرگراه ( اینترنت ) مسیر خود را طی ، تا به منزل شما ( اینترفیش خروجی تونل ) برسد. شما در منزل جعبه ( پروتکل

کپسول سازی ) را باز و کامپیوتر ( پروتکل مسافر) را از آن خارج می نمائید.
 

با استفاده از روش Tunneling می توان عملیات جالبی را انجام داد. مثلا” می توان از بسته ای اطلاعاتی که پروتکل اینترنت را حمایت نمی کندنظیر

(NetBeui) درون یک بسته اطلاعاتی IP استفاده و آن را از طریق اینترنت ارسال نمود و یا می‌توان یک بسته اطلاعاتی را که از یک آدرس IP غیر قابل

رویت ( اختصاصی ) استفاده می نماید ، درون یک بسته اطلاعاتی که از آدرس های معتبر IP استفاده می کند ، مستقر و از طریق اینترنت ارسال نمود.
 

امنیت در VPN
 

خصوصی بودن یک VPN بدین معناست که بسته‏‌ها به صورت امن از یک شبکه‏‏‌ی عمومی مثل اینترنت عبور نمایند. برای محقق شدن این امر در محیط

واقعی از:
 

هویت‏شناسی بسته‏‌ها، برای اطمینان از ارسال بسته‏‌ها به ‏وسیله یک فرستنده‌ی مجاز استفاده می‏شود.
 

فایروال . فایروال یک دیواره مجازی بین شبکه اختصای یک سازمان و اینترنت ایجاد می نماید. با استفاده از فایروال می توان عملیات متفاوتی را در

جهت اعمال سیاست های امنیتی یک سازمان انجام داد. ایجاد محدودیت در تعداد پورت ها فعال ، ایجاد محدودیت در رابطه به پروتکل های خاص ، ایجاد

محدودیت در نوع بسته های اطلاعاتی و … نمونه هائی از عملیاتی است که می توان با استفاده از یک فایروال انجام داد.

 



رمزنگاری : فرآیندی است که با استفاده از آن کامپیوتر مبداء اطلاعاتی رمزشده را برای کامپیوتر دیگر ارسال می نماید. سایر کامپیوترها ی مجاز قادر به

رمزگشائی اطلاعات ارسالی خواهند بود. بدین ترتیب پس از ارسال اطلاعات توسط فرستنده ، دریافت کنندگان، قبل از استفاده از اطلاعات می بایست

اقدام به رمزگشائی اطلاعات ارسال شده نمایند. سیستم های رمزنگاری در کامپیوتر به دو گروه عمده تقسیم می گردد :
 

● رمزنگاری کلید متقارن
 

● رمزنگاری کلید عمومی
 

در رمز نگاری ” کلید متقارن ” هر یک از کامپیوترها دارای یک کلید Secret (کد) بوده که با استفاده از آن قادر به رمزنگاری یک بسته اطلاعاتی قبل از

ارسال در شبکه برای کامپیوتر دیگر می باشند. در روش فوق می بایست در ابتدا نسبت به کامپیوترهائی که قصد برقراری و ارسال اطلاعات برای

یکدیگر را دارند ، آگاهی کامل وجود داشته باشد. هر یک از کامپیوترهای شرکت کننده در مبادله اطلاعاتی می بایست دارای کلید رمز مشابه بمنظور

رمزگشائی اطلاعات باشند.



بمنظور رمزنگاری اطلاعات ارسالی نیز از کلید فوق استفاده خواهد شد. فرض کنید قصد ارسال یک پیام رمز شده برای یکی از دوستان خود را داشته

باشید. بدین منظور از یک الگوریتم خاص برای رمزنگاری استفاده می شود .در الگوریتم فوق هر حرف به دوحرف بعد از خود تبدیل می گردد.(حرف A به

حرف C ، حرف B به حرف( D پس از رمزنمودن پیام و ارسال آن، میبایست دریافت کننده پیام به این حقیقت واقف باشد که برای رمزگشائی پیام لرسال

شده ، هر حرف به دو حرق قبل از خود می بایست تبدیل گردد.

 

در چنین حالتی می بایست به دوست امین خود ، واقعیت فوق ( کلید رمز ) گفته شود. در صورتیکه پیام فوق توسط افراد دیگری دریافت گردد ، بدلیل

عدم آگاهی از کلید ، آنان قادر به رمزگشائی و استفاده از پیام ارسال شده نخواهند بود.

http://www.knowclub.com/paper/images/abolhassanpour_4.jpg

 

در رمزنگاری عمومی از ترکیب یک کلید خصوصی و یک کلید عمومی استفاده می شود. کلید خصوصی صرفا” برای کامپیوتر شما ( ارسال کننده) قابل

شناسائی و استفاده است . کلید عمومی توسط کامپیوتر شما در اختیار تمام کامپیوترهای دیگر که قصد ارتباط با آن را داشته باشند ، گذاشته می

شود. بمنظور رمزگشائی یک پیام رمز شده ، یک کامپیوتر می بایست با استفاده از کلید عمومی ( ارائه شده توسط کامپیوتر ارسال کننده ) ، کلید

خصوصی مربوط به خود اقدام به رمزگشائی پیام ارسالی نماید . با استفاده از روش فوق می توان اقدام به رمزنگاری اطلاعات دلخواه خود نمود.در

جدول ذیل می توان این مراحل را بررسی نمود:

http://www.knowclub.com/paper/images/abolhassanpour_5.jpg

 

معماری‌های VPN


شبکه‏‏‌ی محلی-به-شبکه‌ی محلی: تبادل اطلاعات به صورت امن، بین دو شعبه‏ی مختلف از یک سازمان می‏تواند از طریق شبکه عمومی و به صورت

مجازی، به فرم شبکه‏‏‌ی محلی-به-شبکه‌ی محلی صورت گیرد.

 

هدف از این نوع معماری، این است که تمامی رایانه‏‌های متصل به شبکه‏‌های محلیِ مختلفِ موجود در یک سازمان، که ممکن است از نظر مسافت

بسیار از هم دور باشند، به صورت مجازی، به صورت یک شبکه

محلی دیده شوند و تمامی رایانه‏‌های موجود در این شبکه‏‏‌ی محلی مجازی بتوانند به تمامی اطلاعات و کارگزارها دسترسی داشته باشند و از امکانات

یکدیگر استفاده نمایند. در این معماری، هر رایانه تمامی

رایانه‏‌های موجود در شبکه‏‏‌ی محلی مجازی را به صورت شفاف مشاهده می‏‏نماید و قادر است از آنها استفاده‏ی عملیاتی و اطلاعاتی نماید. تمامی

میزبان‏های این شبکه‏‏‌ی مجازی دارای آدرسی مشابه میزبان‏های یک

شبکه‏‏‌ی محلی واقعی هستند.

http://www.knowclub.com/paper/images/abolhassanpour_6.jpg

 

 

شبکه‏‏‌ی محلی-به-شبکه‌ی محلی مبتنی بر اینترانت : در صورتیکه سازمانی دارای یک و یا بیش از یک محل ( راه دور) بوده و تمایل به الحاق آنها در

یک شبکه اختصاصی باشد ، می توان یک اینترانت VPN را بمنظور برقرای ارتباط هر یک از شبکه های محلی با یکدیگر ایجاد نمود.
 

شبکه‏‏‌ی محلی-به-شبکه‌ی محلی مبتنی بر اکسترانت : در مواردیکه سازمانی در تعامل اطلاعاتی بسیار نزدیک با سازمان دیگر باشد ، می توان یک

اکسترانت VPN را بمنظور ارتباط شبکه های محلی هر یک از سازمانها ایجاد کرد. در چنین حالتی سازمانهای متعدد قادر به فعالیت در یک محیط

اشتراکی خواهند بود.
 

● میزبان-به-شبکه‏‏‌ی محلی: حالت خاص معماری شبکه‏‏‌ی محلی-به-شبکه‌ی محلی، ساختار میزبان-به-شبکه‏‏‌ی محلی است که در آن، یک کاربر

مجاز (مانند مدیر شرکت که از راه دور کارهای اداری و مدیریتی را کنترل می کند و یا نماینده‏ی فروش شرکت که با شرکت ارتباط برقرار کرده و

معاملات را انجام می‏دهد) می‏خواهد از راه دور با یک شبکه محلی که پردازشگر اطلاعات خصوصی یک شرکت است و با پایگاه داده‌ی شرکت در تماس

مستقیم است، ارتباط امن برقرار نماید. در این ارتباط در واقع میزبان راه دور به عنوان عضوی از شبکه‏‏‌ی محلی شرکت محسوب می‏شود که قادر است

از اطلاعات و کارگزارهای موجود در آن شبکه محلی استفاده نماید. از آن‌جا که این یک ارتباط دوطرفه نیست، پس میزبان‏های آن شبکه محلی، نیازی به

برقراری ارتباط با میزبان راه دور ندارند. در صورت نیاز به برقراری ارتباط شبکه‏‏‌ی محلی با میزبان راه دور، باید همان حالت معماری شبکه‏ی‏ محلی-به-‏

شبکه‏ی‏ محلی پیاده‌‏سازی شود. در این معماری برقراری ارتباط همواره از سوی میزبان راه دور انجام می‏شود.
 

سازمانهائی که تمایل به برپاسازی یک شبکه بزرگ ” دستیابی از راه دور ” می باشند ، می بایست از امکانات یک مرکز ارائه دهنده خدمات اینترنت

جهانی ISP(Internet service provider) استفاده نمایند. سرویس دهنده ISP ، بمنظور نصب و پیکربندیVPN ، یک NAS(Network access server) را

پیکربندی و نرم افزاری را در اختیار کاربران از راه دور بمنظور ارتباط با سایت قرار خواهد داد. کاربران در ادامه با برقراری ارتباط قادر به دستیابی به NAS

و استفاده از نرم افزار مربوطه بمنظور دستیابی به شبکه سازمان خود خواهند بود.

http://www.knowclub.com/paper/images/abolhassanpour_7.jpg

 

میزبان-به-میزبان: معماری دیگری که وجود دارد، ساختار میزبان-به-میزبان می‏باشد. در این معماری، دو میزبان با هم ارتباط امن دارند. بدلیل تفاوت‏های

این معماری با دو معماری فوق (مناسب بودن این همبندی برای ارتباطات شخصی و نه شرکتی، برقراری ارتباط یک میزبان با اینترنت بدون دیواره‌ی

آتش و قرار نگرفتن یک شبکه‏‏‌ی محلی پشت یک دیواره‌ی آتش) این معماری استفاده‏ی عملیاتی و تجاری کمتری دارد.

 

تکنولوژی های VPN
 

با توجه به نوع) VPN “دستیابی از راه دور ” و یا ” سایت به سایت ” ) ، بمنظور ایجاد شبکه از عناصر خاصی استفاده می گردد:
 

- نرم افزارهای مربوط به کاربران از راه دور
 

- سخت افزارهای اختصاصی نظیر یک ” کانکتور VPN” و یا یک فایروال PIX
 

- سرویس دهنده اختصاصی VPN بمنظور سرویُس های Dial-up
 

- سرویس دهنده NAS که توسط مرکز ارائه خدمات اینترنت بمنظور دستیابی به VPN از نوع “دستیابی از را دور” استفاده می شود.
 

- کانکتور VPN . سخت افزار فوق توسط شرکت سیسکو طراحی و عرضه شده است. کانکتور فوق در مدل های متفاوت و قابلیت های گوناگون عرضه

شده است .
 

- روتر مختص VPN . روتر فوق توسط شرکت سیسکو ارائه شده است . این روتر دارای قابلیت های متعدد بمنظور استفاده در محیط های گوناگون

است . – در طراحی روتر فوق شبکه های VPN نیز مورد توجه قرار گرفته و امکانات مربوط در آن بگونه ای بهینه سازی شده اند.
 

- فایروال PIX . فایروال PIX(Private Internet exchange) قابلیت هائی نظیرNAT، سرویس دهنده Proxy ، فیلتر نمودن بسته ای اطلاعاتی، فایروال

وVPN را در یک سخت افزار فراهم نموده است
 

- با توجه به اینکه تاکنون یک استاندارد قابل قبول و عمومی بمنظور ایجاد شVPN ایجاد نشده است ، شرکت های متعدد هر یک اقدام به تولید

محصولات اختصاصی خود نموده اند.
 

قراردادهای موجود در پیاده‌سازی VPN
 

 رده‏ی بسته‏گرا Packet Oriented
 

لفافه‏بندی روی بسته‏‌ها اِعمال می‏شود. اکثر پیاده‏سازی‏های تجاری و غیرتجاری VPN، بسته‏گرا می‏باشند. این قرارداد از قرارداد PPP برای بسته‏بندی

اطلاعات استفاده می‏نماید. این نوع قراردادها در مدل استاندارد لایه‏بندی شبکه‏‏‌ی OSI، در سطح لایه‏‌های دوم و سوم قرار دارند. بنابراین، امکان

تونل‌‏کشی برای دسترسی راه دور وجود دارد.
 

رده‏‌ی کاربردگرا Application Oriented
 

در قراردادهای کاربردگرا، اعمال رمزنگاری اطلاعات و هویت‏شناسی کاربران انجام می‏شود. این نوع قراردادها در مدل پشته‏ای شبکه‏‏‌ی OSI در لایه‏‌های

چهارم به بالا قرار دارند و چون آدرس‏دهی شبکه‏‌ها و میزبان‏ها در لایه‏ی سومِ مدلِ پشته‏ای شبکه‏‏‌ی OSI امکان‏پذیر است، این نوع قراردادها امکان

تونل‌‏کشی بین میزبان و شبکه‏‏‌ی محلی یا بین دو شبکه‏‏‌ی محلی را فراهم نمیکنند. با توجه به عدم امکان تونل‌‏کشی در قراردادهای این رده، توانایی

ایجاد شبکه‏‌های مجازی در قراردادهای این رده وجود ندارد و از این قراردادها برای ایجاد شبکه‏‌های خصوصی استفاده می‏شود. البته می‏توان برای

مخفی‏سازی آدرس‏های شبکه‏‏‌ی محلی، از امکان ترجمه‏ی آدرس شبکه(NAT) که در اکثر دیواره‌های آتش وجود دارد، استفاده نمود. با این روش می‏توان

بعضی از قابلیت‏های تونل‌‏کشی را برای قراردادهای VPN کاربردگرا ایجاد کرد.
 

قراردادهای کاربردگرای VPN
 

قراردادهای:SSH
 

کاربرد اصلی قرارداد SSH، امن نمودن خدمت ارتباط از راه دور است. این قرارداد در لایه‌ی کاربرد و بالاتر از قرارداد TCP/IP کار می‏کند. SSH قابلیت

هویت‏شناسی کاربران ورمزنگاری اطلاعات را دارد. قرارداد SSH دارای سه لایه‌ی اصلی انتقال، هویت‌شناسی کاربر و اتصال می‏باشد. لایه‌ی انتقال،

وظیفه‏ی فراهم آوردن امنیت و هویت‌شناسی کارگزار را به‌عهده دارد. به علت قرار گرفتن این لایه بر روی لایه‏ی TCP و همچنین وجود حفره‌ی امنیتی

در لایه‏‌های TCP و IP، امنیت در ارتباط بین دو کامپیوتر از بین خواهد رفت، که می‏توان با قرار دادن دیواره‌ی آتش بر روی آن، این مشکل را به نوعی حل

نمود. لایه‏ی هویت‌شناسی کاربر، وظیفه‏ی شناساندن کارفرما به کارگزار را به عهده دارد. لایه‏ی اتصال وظیفه‏ی تسهیم و ایجاد کانال‌های امن لایه‎های

انتقال و هویت‏شناسی را بر عهده دارد. از قرارداد SSH می‏توان برای پیاده‌‏سازی شبکه‏‌های خصوصی که حالت خاصی از VPNها هستند، استفاده نمود.
 

قرار داد SOCKS
 

قرارداد SOCKS در مدل لایه‏بندی شبکه OSI درلایه‌ی پنجم بصورت کارفرما و کارگزار پیاده‌‏سازی شده است این قرارداد دارای امکان رمزنگاری اطلاعات

نیست ولی بدلیل داشتن امکان هویت‏شناسی چند سطحی و امکان مذاکره بین کارفرما وکارگزار SOCKS(Negotiate Capability)، می‏توان از آن برای

پیاده‌‏سازی قراردادهای رمزنگاری موجود، از آن استفاده نمود. SOCKS، به صورت Circuit-Level Proxy پیاده سازی شده است. یعنی، کارفرما و کارگزار SOCKS

 در دروازه‏‌های دو شبکه محلی، اعمال هویت‏شناسی و مذاکره‏‌های لازم را انجام می‏دهند و سپس ارتباطات میزبان‏های دو شبکه‏ محلی با یکدیگر انجام

می‏شود. چون کارفرمای SOCKS مثل یک Proxy عمل می‏نماید، می‏توان برای امنیت بیشتر، به میزبان‏های شبکه‌ی محلی، آدرس‌های نامعتبر اختصاص داد

و با ترجمه آدرس شبکه (NAT) که در کارگزار SOCKS انجام می‏شود، این آدرس‌های نامعتبر را به آدرس معتبر و بالعکس تبدیل نمود. با این روش می‌توان

شبکه محلی را از یک شبکه عمومی مخفی نمود.
 

قراردادهای رده‏ی بسته‏گرای VPN
 


Simple Key Management for Internet Protocol SKIP :
 

یک قرارداد مدیریت کلید است ولی با توجه به اینکه این قرارداد امکانات تونل‌‏کشی را نیز ارائه می‏دهد، می‏توان آن‌را به عنوان یک قرارداد پیاده‌‏سازی VPN

در نظر گرفت. این قرارداد در سطح لایه‏ی سوم OSI کار می‏کند.
Layer 2 Tunneling Protocol L2TP

یک مکانیزم تونل‌‏کشی است که از ترکیب مکانیزم‏های PPTP وL2F به منظور بهره‌وری از محاسن هر دو قرارداد به‏ وجود آمده است و از قرارداد PPP

برای بسته‏بندی اطلاعات استفاده می‌کند.
 

از پروتکل فوق بمنظور ایجاد تونل بین موارد زیر استفاده می گردد :
 

● سرویس گیرنده و روتر