Vpn احتمالاً از جمله موضوعاتی است : که زیاد در مورد آن صحبت می شود .
اما نکته عجیب این است که کمتر فردی را می توان یافت که مفاهیم آن را در رابطه با اینترنت و یا دسترسی از راه دور خوب درک کرده باشد سالها است که vpn ها پیرامون ما وجود دارند ، اما تا کنون چندان مورد توجه قرار نگرفته اند.
بخشی از سردرگمی های مربوط به آن از کلمه Private (خصوصی) منشأ می گیرد.
مثلاً مدت زیاد است که شرکت های مختلف امکان اتصال از طریق خطهای اجاره ای خصوصی را برای سایت های خود (مانند شعبه های اداری) فراهم کرده اند.
این در واقع نوعی شبکه خصوصی می باشد ، که تا دور دست کشیده شده است .
این حالت را بیشتر vpn مبتنی بر سیم حامل می نامند.
در این روش ISP (یا شرکت تلفن) مدارهای مجازی بین سایتها ایجاد می کند در این حالت برای برقراری ارتباط خصوصی دو نوع مدار مجازی ممکن است وجود داشته باشند که عبارتند از PVC,SVC متداولترین روش PVC می باشد.
در اینجا روش Internet vpn شرح داده می شود.
Internet vpn روشی است که بر اساس آن دو کامپیوتر یا شبکه می توانند از طریق یک شبکه اشتراکی یا عمومی (مانند اینترینت) به صورت خصوصی با یکدیگر ارتباط برقرار کنند.
این روش نیز نوعی گسترش شبکه خصوصی می باد.
اما در اینجا دیگر نیازی نیست که ISP یا شرکت تلفن ، نوعی اتصال مجزا و اضافی برای برقراری ارتباط ارائه کند.
بنابراین چنین روشی می تواند به میزان زیادی در هزینه تان صرفه جویی کند .
vpn ها به اتصال سایت به سایت محدود نمی شوند.
بلکه این امکان را برایتان فراهم می کنند که سرویس گیرنده های سیار ، یا سرویس گیرنده هایی که در مسافرت هستند.
بتوانند با شرکت خود ارتباطی از نوع کاملاُ ایمن برقرار کنند.
مثلاً سرویس گیرنده راه دور ابتدا شماره ISP محلی خود را می گیرد.(این روش در هزینه تلفن صرفه جویی خواهد کرد.) سپس از طریق اینترنت نوعی vpn با شبکه شرکت خود برقرار می کند.
Vpn ها در واقع ایمنی و قابلیت اطمینان کارهایی که ممکن است انجام آنها از سایر روشها در شبکه های عمومی نا امن باشند ، را فراهم.
Vpn در اصل از سه تکنولوژی تشکیل شده است که وقتی همراه با یکدیگر مورد استفاده قرار می گیرند نوعی اتصال ایمن را فراهم می کنند.
تکنولوژی های مزبور عبارتند از اعتبار سنجی (Authentication) ایجاد تونل (Tunneling) و رمزگذاری (Eneryption).
اعتبار سنجی
اولین دلیل برای اعتبار سنجی در vpn اطمینان هویت سرویس گیرنده و سرویس دهنده می باشد که باید قبل از برقراری جلسه vpn مشخص شود.
البته چنین مطلبی به معنی این نیست که همواره باید اعتبار سنجی به صورت دو طرفه باشد .
اما قبل از برقراری تونل و امکان ارسال داده ها، باید مرحله اعتبار سنجی با موفقیت انجام شود .
نوع اعتبار سنجی که مورد استفاده قرار می گیرد به نوع سرویس گیرنده های موجود در شبکه و نیز روشی که انتخاب کرده اید بستگی خواهد داشت.
تنها مشکل احتمالی این است که اگر سرویس گیرنده های راه دور از نوع سرویس گیرنده های سطح پایین باشند.
احتمالاً توسط پروتکل اعتبار سنجی EAP پشتیبانی نشده اند.
در حقیقت سرویس گیرنده های سطح ویندوز NT و ویندوز 9x این ویژگی را پشتیبانی نمی کنند .
هنگام تصمیم گیری در مورد نوع پروتکل EAP که باید مورداستفاده قرار گیرد.
در نظر داشته باشید که باید بالاترین سطح اعتبار سنجی را انتخاب کنید.
به عبارت دیگر باید پروتکل های اعتبار سنجی نظیر Ms-CHAp , EAP و یا MS-CHAPv2 را مورد استفاده قرار دهید.
ایجاد تونل
روش ایجاد تونل (Tunneling) در مرحله أی مورد استفاده قرار می گیرد که می خواهید پروتکل های پوشاننده دادهای شکبه مانند ( Net beui.
Appele talk , Ipx/spx , Tcp/Ip) بتوانند از اینترنت عبور کنند بله درست است که Tcp/Ip به خودی خود می تواند از اینترنت عبور کند.
اما در آن صورت بخشی از تونل یا vpn نخواهد بود.
ایجاد تونل را به صورت راهی که موش کور در زیر زمین برای اتصال از نقطه ای به نقطه دیگر ایجاد می کند در نظر بگیرید.
برای ایجاد تونل ابتدا باید هویت دو انتهای آن تایید شود.
بعد از اعتبار سنجی آنها ، تونل ایجاد و اطلاعات بین دو نقطه مزبور ارسال می شود.
این حالت را شکل 11-16 مشاهده می کنید.
دو پروتکلی که در ویندوز 2000 مسئول ایجاد تونل های vpn می باشند عبارتند از از pptp و L2tp که در قسمتهای قبل شرح داده شدند.
پروتکل ایجاد تونل L2tp نسبت به pptp پیشرفته تر است .
L2tp از Ipsec به عنوان پروتکل اعتبار سنجی و رمزگذاری استفاده می کند.
L2tp فقط در نگارشهای ویندوز RRAS2000 وجود دارد و فقط سرویس گیرنده های مبتنی بر ویندوز 2000 به آن مجهز می باشند .
جدول 1 نشان می دهد که سرویس گیرنده های مختلف می توانند چه نوع پروتکل های ایجاد تونل را پشتیبانی کنند.
جدول 1 : سرویش گیرنده ها و پروتکل های ایجاد تونلی که توسط آنها پشتیبانی می شوند.
MPPE MPEE می تواند داده های ارسالی در اتصالهای PPTPVPN را رمز گذاری کند.
MPEE طرحهای رمزگذاری زیر را پشتیبانی میکند : رمزگذاری استاندارد 40 بیتی رمز گذاری استاندارد 56 بیتی رمز گذاری تقویت شده 128 بیتی که فقط در ایالات متحده و کانادا قابل استفاده است.
برای استفاده از MPEE باید یکی از پروتکل های اعتبار سنجی MS-CHAP یا MS-CHAPv2 را مورد استفاده قرار دهید.
Ipsec علیرغم باور عمومی Ipsec در واقع مجموعه ای از سرویس ها و پروتکل های مبتنی بر رمزگذاری می باشد.
IPSec علاوه بر رمز گذاری ، اعتبار سنجی اتصالهای VPN مبتنی بر L2tp را نیز انجام می دهد.
اما L2tp همچنان از روشهای اعتبار سنجی که قبلاً شرح داده شدند مانند EAP , MS-CHAP استفاده می کند.
Ipsec در روش پیاده سازی ویندوز 2000 یا Des و یا Triple DES(3DES) را مورد استفاده قرار می دهد.
DES از کلید کد گزاری 56 کلیدی استفاده می کند و می توان آن را به صورت بین المللی مورد استفاده قرار داد .
اما 3des از دو کلید 56 بتی استفاده می کند و نمیتوان آن را برای صادر کردن اطلاعات به خارج از ایالات متحده مورد استفاده قرار داد.
نوع رمز گذاری Ipsec مورد استفاده توسط SA تعیین می شود .
Sa بین دو نقطه انتهایی VPN قرار می گیرد و ایمنی متداولی که باید مورد استفاده قرار گیرد ، را اعمال می کند.
نکاتی که باید در رابطه با پیاده سازی VPN در نظر گرفت فقط به علت اینکه VPN داغ ترین تکنولوژی برای دسترسی از راه دور می باشد ، نمیتوان گفت VPN راه حل مناسبی برای کارمان خواهد بود.
قبل از اینکه آن را به عنوان راه حل نهایی در محیط شبکه مبتنی بر ویندوز 2000 خود پیاده کنیم باید موارد زیر را در نظر بگیریم : ایمنی : ایمنی باید یکی از بزرگترین عوامل تصمیم گیری باشد ن که شما را به پیاده سازی VPN هدایت می کند.
در این مورد باید به دو سئوال پاسخ دهید.
اول اینکه ما با توانایی VPN برای نوع اطلاعاتی که می خواهیم ارسال کنیم بیش از حد زیاد نیست ؟
مثلاً ممکن است بخواهید فقط پیغامهای پست الکترونیکی غیر محرمانه را ارسال کنید.
سئوال دوم این است که آیا VPN می تواند از عهده حفظ ایمنی مورد نیاز برآید مثلاً ادارات دولتی باید از ایمنی قابل توجهی برخوردار باشند.
مثلآص به احتمال زیاد ارتش صرف نظر از ادعای VPN در رابطه با ارائه سطح ایمنی مطلوب هیچگاه آن را برای انتقال داده ها از طریق شبکه ای عمومی مورد استفاده قرار نخواهد داد.
بودجه ای که برای اینکار در نظر گرفته شده است : هزینه اولیه و هزینه های حین کار برای راه اندازی VPN در محیط شبکه مبتنی بر ویندوز 2000 در مقایسه با خطهای اجاره أی بسیار ناچیز است .
مزیتهای استفاده از VPN در رابطه با صرف جویی بسیار واضح است زیرا با استفاده از آن دیگر سایتها و سرویس گیرنده های راه دور می توانند بصورت ایمن و بدون پرداخت هزینه های اضافی (مانند سخت افزارهای برقرارکننده اتصال ، هزینه ی تلفن و ..) به شبکه شرکت متصل شود.
درست است که کاربران راه دور می توانند شماره تلفن هایی که با عدد 800 شروع می شوند را مورد استفاده قرار دهند اما این کار هزینه و مشکلات را بطور کامل بر طرف نمی کند و البته بازهم گران قیمت می باشد.
سرعت ارسال : از آنجا که VPN به اعتبار سنجی و رمزگذاری نیاز دارد سرعت ارسال داده ها از آن طریق کندتر از حالتی است که این کار بدون استفاده از VPN انجام می شود.
می توانید کاهش سرعتی بین 30 تا 50 درصد را در رابطه با استفاده از VPN انتظار داشته باشید.
در این حالت ناچارید هزینه و سرعت انتقال داده ها را در مقابل یکدیگر در نظر بگیرید.
اینها فقط چند مورد از مواردی است که باید قبل از پیاده سازی VPN در نظر بگیریم.
اما با درنظر گرفتن این سه مطلب بهتر می توانیم در مورد ارائه قابلیت های VPN در شبکه ویندوز 2000 خود تصمیم گیری کنیم.
انتخاب نحوه تماس در VPN در اصل دو نوع نحوه تماس در VPN وجود دارد که عبارتند از شماره گیری VPN و سایت به سایت .ترکیب این دو روش را نیز می توان به عنوان روش سوم مطرح کرد.
شماره گیری VPN : در این روش معمولاُ سرویس گیرنده های راه دور بعد از شماره گیری ISP خود برای برقراری ارتباط VPN بین سرویس گیرنده راه دور و سرویس دهنده VPN ، شماره سرویس دهنده مذکور در ویندوز 2000 را می گیرد به این ترتیب در هزینه تلفن راه دور برای سرویس گیرنده راه دور ، و نیز سرویس دهنده VPN صرفه جویی خواهد شد.
زیرا در بسیاری از موارد می توان این روش را به جای تعداد زیاد مودم ها و سایر وسیله های جانبی مربوط به اتصال از راه دور مورد استفاده قرار داد.
روش سایت به سایت : متداول ترین روش برای برقراری تماس از طریق VPN روش سایت به سایت می باشد در این روش دو یا چند سرویس دهنده VPN را مورد استفاده قرار خواهیم داد تا بتوانیم بین آنها ارتباط مبتنی بر VPN را برقرار کنیم .
کاربرانی که در هر کدام از شبکه ها قرارداشته باشند می توانند با سایت یا سایتهای دور دست دیگر ارتباط برقرار کنند.
روش ترکیبی : همانطور که از نام این روش بر می آید در اینجا محیطهای شبکه مبتنی بر ویندوز 2000 هم روش مورد استفاده توسط سرویس گیرنده های راه دور و هم روش سایت به سایت را برای برقراری ارتباط مبتنی بر VPN مورد استفاده قرار می دهند تا به هر دو مورد سرویس دهند.
پیکربندی سرویس دهنده VPN با پیکر بندی RRAS بعنوان سرویس دهنده VPN به سرویس گیرنده های راه دور اجازه می دهید که از طریق شبکه عمومی مانند اینترنت عبور کنند.
اینکار از طریق تونلی رمزگذاری شده در محیط شبکه ویندوز 2000 انجام می شود .
1ـ با انتخاب دستورهای Start | programs | adminstorative tools کادر مکالمه Routing and Remote access را باز کنید.
2ـ از منوی Action گزینه Configure and enable routing and remote access را انتخاب کنید بعد از ظاهر شدن پنجره ویزارد Routing and remote access server setup برای ادامه کادر دکمه Next را کلیک کنید.
3ـگزینه Virtual private network (VPN) server را انتخاب کنید ، سپس دکمه Next را کلیک کنید.
4ـ پروتکلهای مورد نیاز برای شماره گیری سرویس گیرنده راه دور و اتصال به سرویس دهنده را بررسی و در صورت نیاز پروتکلهایی را اضافه کنید سپس دکمه Next را کلیک کنید.
5ـ اتصال مناسبی که باید برای اینترنت مورد استفاده قرار بگیرد را انتخاب کنید سپس دکمهNext را کلیک کنید.
6ـ آدرسهای IP اختصاص داده شده به سرویس گیرنده ها را انتخاب کنید اگر سرویس دهنده DHCP را دارید باید آنرا انتخاب کنید اگر DHCP را در اختیار ندارید سرویس دهنده VPN با استفاده از محدوده آدرسهای Ip تعیین شده ، آدرس IP مناسب را به سرویس گیرنده اختصاص می دهند.
توجه داشته باشید که اگر گزینه دوم را انتخاب کنید باید در مرحله بعد محدوده آدرس را تعیین کنید برای ادامه کادر ، دکمه Next را کلیک کنید.
7ـ با فرض اینکه پیشنهاد ارائه شده در مرحله 6 را پذیرفتیم در پنجره بعدی از شما در مورد استفاده سرویس دهنده VPN از سرویس دهنده Radius سئوال خواهد شد .
در این مثال حالت پیش فرض عدم استفاده می باشد برای ادامه کار دکمه Next را کلیک کنید.
8ـ دکمهFinish را کلیک کنید.
پیکربندی سیاست های دسترسی از را دور اجازه اتصال های دسترسی از راه دور بر اساس شماره عضویت کاربر و سیاست های دسترسی از راه دور می باشد در اصل سیاستهای کاری مربوط به دسترسی از راه دور اتصالها را با تعیین مجموعه أی از شرایط تعریف می کنند.
جدول زیر فهرستی از متداول ترین سیاستها در رابطه با دسترسی از راه دور را نشان می دهد و شرح مختصری در رابطه با هریک از آنها ارائه کرده است.
وقتی سیاستهای دسترسی از راه دور را اضافه می کنیم به استفاده از یک سیاست به ازای هر سرویس گیرنده محدود نمی شویم .
می توانیم هر تعداد از سیاستهای کاری در رابطه با دسترسی از راه دور که به نظرتان مناسب می باشد را تعیین کنیم .
اما بهتر است که سیاست های مزبور را به حداقل تعداد ممکن محدود کنیم تا پیکربندی نیز به ساده ترین شکل ممکن باقی بماند.
برای اضافه کردن سیاست کاری در رابطه با دسترسی از راه دور ، مرحله های زیر را دنبال می کنیم .
1ـ با انتخاب دستورهای Start | Programs | adminstrative Tools گزینه Routing ans remote Access را انتخاب کنیم .
2ـ در قاب سمت چپ پنجره کنسول گزینه remote access policies را با استفاده از کلید سمت راست موس کلیک کنید سپس از منوی میانبری که ظاهر می شود گزینه New remote access policy را انتخاب می کنیم با اینکار پنجره Add remote access policy باز خواهد شد.
3ـ بعد از تعیین نامی برای سیاست مزبور دکمه Next را می زنیم .
4ـ برای دستیابی به پنجره Select attribute دکمه add را کلیک کنیم.
بعد از انتخاب صفت دکمه add را می زنیم .
5ـ پارامترهای مربوط به شرایطی که تعیین کرده ایم را تایپ می کنیم مثلاً در رابطه با Caller-station- Id باید شماره تلفن را تایپ کنیم.
نکته مهمی که باید به آن توجه داشته باشیم اینست که اطلاعات ارائه شده در این قسمت به شرایطی که می خواهیم اضافه کنیم بستگی دارند.
بعد از انجام این کادر دکمه Ok را کلیک می کنیم.
6ـ تا زمانی که می خواهیم اضافه شوند تمام نشده اند .
مرحله های 4 و 5 را تکرار کنید سپس برای ادامه کار دکمه Next را کلیک می کنیم.
7ـ پنجره بعدی در ویزارد از شما می پرسد که وقتی شرایط تعیین شده برقرار شده آیا می خواهید اجازه تماس صادر شود یا تماس قطع شود .
بعد از انتخاب یکی از گزینه های Grant یا Deny دکمه Next را می زنیم.
8ـ در این مرحله می توانیم با کلیک کردن دکمه Edit profile سیاست کاری مورد نظر خود را ویرایش کنیم و یا با کلیک کردن finish کار پیکربندی سیاست کاری در رابطه با دسترسی از راه دور را خاتمه دهیم هنگام ویرایش پیش طرح سیاست کاری در رابطه با دسترسی از راه دور گزینه های مختلفی ظاهر خواهند شد .
گزینه های مزبور امکان پیکربندی شرایط شماره گیری برای ورود به سیستم IP اتصال های متعدد اعتبار سنجی رمزگذاری و سایر تنظیم های مربوط به صفت های مربوطه را شامل می شوند.
سیاست های کاری در رابطه با دسترسی از راه دور به میزان زیادی قابل دسترسی شدن می باشند تا بتوانند به بهترین نحو با نیازهای محیط شبکه تان تطبیق یابند.
سرویس گیرنده VPnپروتکل ایجاد تونلی که پشتیبانی شده استویندوز 2000L2tp,PPTPویندوز NT نگارش 4PPTPویندوز 98PPTPویندوز 95PPTP همراه با Dial-up Networking نگارش 1/3 در ویندوز نـام سیـاسـتشـــــــــــــــرحCalled station IDشماره تلفنی که توسط کاربر شماره گیری می شودCalling -station –IDشماره تلفنی که برای برقراری تماس مورد استفاده قرار گرفته استDay-and-time-restaictionsدوره های زمانی و روزهای هفته ای که کاربر مجاز به تماس می باشدFramed-protocolپروتکلی که باید هنگام تماس مورد استفاده قرار گیرد.Tunnel-typeپروتکلهای ایجاد تونل که باید هنگام تماس مورد استفاده قرار گیرندWindows-groupsگروه ویندوز 2000 که کاربر به آن تعلق دارد.