در طي ده سال گذشته دنيا دستخوش تحولات فراواني در عرصه ارتباطات بوده است . اغلب سازمانها و موسسات ارائه دهنده کالا و خدمات که در گذشته بسيار محدود و منطقه اي مسائل را دنبال و در صدد ارائه راهکارهاي مربوطه بودند ، امروزه بيش از گذشته نيازمند تفکر در محدوده جهاني براي ارائه خدمات و کالاي توليده شده را دارند. به عبارت ديگر تفکرات منطقه اي و محلي حاکم بر فعاليت هاي تجاري جاي خود را به تفکرات جهاني و سراسري داده اند. امروزه با سازمانهاي زيادي برخورد مي نمائيم که در سطح يک کشور داراي دفاتر فعال و حتي در سطح دنيا داراي دفاتر متفاوتي مي باشند . تمام سازمانهاي فوق قبل از هر چيز بدنبال يک اصل بسيار مهم مي باشند : يک روش سريع ، ايمن و قابل اعتماد به منظور برقراري ارتباط با دفاتر و نمايندگي در اقصي نقاط يک کشور و يا در سطح دنيا .
اکثر سازمانها و موسسات به منظور ايجاد يک شبکه WAN از خطوط اختصاصي (Leased Line) استفاده مي نمايند.خطوط فوق داراي انواع متفاوتي مي باشند. ISDN ( با سرعت 128 کيلوبيت در ثانيه )، ( OC3 Optical Carrier-3) ( با سرعت 155 مگابيت در ثانيه ) دامنه وسيع خطوط اختصاصي را نشان مي دهد. يک شبکه WAN داراي مزاياي عمده اي نسبت به يک شبکه عمومي نظير اينترنت از بعد امنيت وکارآئي است . پشتياني و نگهداري يک شبکه WAN در عمل و زمانيکه از خطوط اختصاصي استفاده مي گردد ، مستلزم صرف هزينه بالائي است .
همزمان با عموميت يافتن اينترنت ، اغلب سازمانها و موسسات ضرورت توسعه شبکه اختصاصي خود را بدرستي احساس کردند. در ابتدا شبکه هاي اينترانت مطرح گرديدند.اين نوع شبکه بصورت کاملا" اختصاصي بوده و کارمندان يک سازمان با استفاده از رمز عبور تعريف شده ، قادر به ورود به شبکه و استفاده از منابع موجود مي باشند. اخيرا" ، تعداد زيادي از موسسات و سازمانها با توجه به مطرح شدن خواسته هاي جديد ( کارمندان از راه دور ، ادارات از راه دور )، اقدام به ايجاد شبکه هاي اختصاصي مجازي VPN)Virtual Private Network) نموده اند.
يک VPN ، شبکه اي اختصاصي بوده که از يک شبکه عمومي ( عموما" اينترنت ) ، براي ارتباط با سايت هاي از راه دور و ارتباط کاربران بايکديگر، استفاده مي نمايد. اين نوع شبکه ها در عوض استفاده از خطوط واقعي نظير : خطوط Leased ، از يک ارتباط مجازي بکمک اينترنت براي شبکه اختصاصي به منظور ارتباط به سايت ها استفاده مي کند.

عناصر تشکيل دهنده يک VPN

دو نوع عمده شبکه هاي VPN وجود دارد :
• دستيابي از راه دور (Remote-Access) . به اين نوع از شبکه ها VPDN)Virtual private dial-up network)، نيز گفته مي شود.در شبکه هاي فوق از مدل ارتباطي User-To-Lan ( ارتباط کاربر به يک شبکه محلي ) استفاده مي گردد. سازمانهائي که از مدل فوق استفاده مي نمايند ، بدنبال ايجاد تسهيلات لازم براي ارتباط پرسنل ( عموما" کاربران از راه دور و در هر مکاني مي توانند حضور داشته باشند ) به شبکه سازمان مي باشند. سازمانهائي که تمايل به برپاسازي يک شبکه بزرگ " دستيابي از راه دور " مي باشند ، مي بايست از امکانات يک مرکز ارائه دهنده خدمات اينترنت جهاني ESP)Enterprise service provider) استفاده نمايند. سرويس دهنده ESP ، به منظور نصب و پيکربندي VPN ، يک NAS)Network access server) را پيکربندي و نرم افزاري را در اختيار کاربران از راه دور به منظور ارتباط با سايت قرار خواهد داد. کاربران در ادامه با برقراري ارتباط قادر به دستيابي به NAS و استفاده از نرم افزار مربوطه به منظور دستيابي به شبکه سازمان خود خواهند بود.
• سايت به سايت (Site-to-Site) . در مدل فوق يک سازمان با توجه به سياست هاي موجود ، قادر به اتصال چندين سايت ثابت از طريق يک شبکه عمومي نظير اينترنت است . شبکه هاي VPN که از روش فوق استفاده مي نمايند ، داراي گونه هاي خاصي در اين زمينه مي باشند:
- مبتني بر اينترانت . در صورتي که سازماني داراي يک و يا بيش از يک محل ( راه دور) بوده و تمايل به الحاق آنها در يک شبکه اختصاصي باشد ، مي توان يک اينترانت VPN را به منظور برقراي ارتباط هر يک از شبکه هاي محلي با يکديگر ايجاد نمود.
- مبتني بر اکسترانت . در موارديکه سازماني در تعامل اطلاعاتي بسيار نزديک با سازمان ديگر باشد ، مي توان يک اکسترانت VPN را به منظور ارتباط شبکه هاي محلي هر يک از سازمانها ايجاد کرد. در چنين حالتي سازمانهاي متعدد قادر به فعاليت در يک محيط اشتراکي خواهند بود.
استفاده از VPN براي يک سازمان داراي مزاياي متعددي نظير : گسترش محدوه جغرافيائي ارتباطي ، بهبود وضعيت امنيت ، کاهش هزينه هاي عملياتي در مقايسه با روش هاي سنتي WAN ، کاهش زمان ارسال و حمل اطلاعات براي کاربران از راه دور ، بهبود بهره وري ، توپولوژي آسان ،... است . در يکه شبکه VPN به عوامل متفاوتي نظير : امنيت ، اعتمادپذيري ، مديريت شبکه و سياست ها نياز خواهد بود.

شبکه هاي LAN جزاير اطلاعاتي

فرض نمائيد در جزيره اي در اقيانوسي بزرگ ، زندگي مي کنيد. هزاران جزيره در اطراف جزيره شما وجود دارد. برخي از جزاير نزديک و برخي ديگر داراي مسافت طولاني با جزيره شما مي باشند. متداولترين روش به منظور مسافرت به جزيره ديگر ، استفاده از يک کشتي مسافربري است . مسافرت با کشتي مسافربري ، بمنزله عدم وجود امنيت است . در اين راستا هر کاري را که شما انجام دهيد ، توسط ساير مسافرين قابل مشاهده خواهد بود. فرض کنيد هر يک از جزاير مورد نظر به مشابه يک شبکه محلي (LAN) و اقيانوس مانند اينترنت باشند. مسافرت با يک کشتي مسافربري مشابه برقراري ارتباط با يک سرويس دهنده وب و يا ساير دستگاههاي موجود در اينترنت است . شما داراي هيچگونه کنترلي بر روي کابل ها و روترهاي موجود در اينترنت نمي باشيد. ( مشابه عدم کنترل شما به عنوان مسافر کشتي مسافربري بر روي ساير مسافرين حاضر در کشتي ) .در صورتي که تمايل به ارتباط بين دو شبکه اختصاصي از طريق منابع عمومي وجود داشته باشد ، اولين مسئله اي که با چالش هاي جدي برخورد خواهد کرد ، امنيت خواهد بود. فرض کنيد ، جزيره شما قصد ايجاد يک پل ارتباطي با جزيره مورد نظر را داشته باشد .مسير ايجاد شده يک روش ايمن ، ساده و مستقيم براي مسافرت ساکنين جزيره شما به جزيره ديگر را فراهم مي آورد. همانطور که حدس زده ايد ، ايجاد و نگهداري يک پل ارتباطي بين دو جزيره مستلزم صرف هزينه هاي بالائي خواهد بود.( حتي اگر جزاير در مجاورت يکديگر باشند ) . با توجه به ضرورت و حساسيت مربوط به داشتن يک مسير ايمن و مطمئن ، تصميم به ايجاد پل ارتباطي بين دو جزيره گرفته شده است . در صورتي که جزيره شما قصد ايجاد يک پل ارتباطي با جزيره ديگر را داشته باشد که در مسافت بسيار طولاني نسبت به جزيره شما واقع است ، هزينه هاي مربوط بمراتب بيشتر خواهد بود. وضعيت فوق ، نظير استفاده از يک اختصاصي Leased است . ماهيت پل هاي ارتباطي ( خطوط اختصاصي ) از اقيانوس ( اينترنت ) متفاوت بوده و کماکن قادر به ارتباط جزاير( شبکه هاي LAN) خواهند بود. سازمانها و موسسات متعددي از رويکرد فوق ( استفاده از خطوط اختصاصي) استفاده مي نمايند. مهمترين عامل در اين زمينه وجود امنيت و اطمينان براي برقراري ارتباط هر يک سازمانهاي مورد نظر با يکديگر است . در صورتي که مسافت ادارات و يا شعب يک سازمان از يکديگر بسيار دور باشد ، هزينه مربوط به برقراي ارتباط نيز افزايش خواهد يافت .
با توجه به موارد گفته شده ، چه ضرورتي به منظور استفاده از VPN وجود داشته و VPN تامين کننده ، کداميک از اهداف و خواسته هاي مورد نظر است ؟ با توجه به مقايسه انجام شده در مثال فرضي ، مي توان گفت که با استفاده از VPN به هريک از ساکنين جزيره يک زيردريائي داده مي شود. زيردريائي فوق داراي خصايص متفاوت نظير :
• داراي سرعت بالا است .
• هدايت آن ساده است .
• قادر به استتار( مخفي نمودن) شما از ساير زيردريا ئيها و کشتي ها است .
• قابل اعتماد است .
• پس از تامين اولين زيردريائي ، افزودن امکانات جانبي و حتي يک زيردريائي ديگرمقرون به صرفه خواهد بود
در مدل فوق ، با وجود ترافيک در اقيانوس ، هر يک از ساکنين دو جزيره قادر به تردد در طول مسير در زمان دلخواه خود با رعايت مسايل ايمني مي باشند. مثال فوق دقيقا" بيانگر تحوه عملکرد VPN است . هر يک از کاربران از راه دور شبکه قادربه برقراري ارتباطي امن و مطمئن با استفاده از يک محيط انتقال عمومي ( نظير اينترنت ) با شبکه محلي (LAN) موجود در سازمان خود خواهند بود. توسعه يک VPN ( افزايش تعداد کاربران از راه دور و يا افزايش مکان هاي مورد نظر ) بمراتب آسانتر از شبکه هائي است که از خطوط اختصاصي استفاده مي نمايند. قابليت توسعه فراگير از مهمتزين ويژگي هاي يک VPN نسبت به خطوط اختصاصي است .

امنيت VPN

شبکه هاي VPN به منظور تامين امنيت (داده ها و ارتباطات) از روش هاي متعددي استفاده مي نمايند :
• فايروال . فايروال يک ديواره مجازي بين شبکه اختصاي يک سازمان و اينترنت ايجاد مي نمايد. با استفاده از فايروال مي توان عمليات متفاوتي را در جهت اعمال سياست هاي امنيتي يک سازمان انجام داد. ايجاد محدوديت در تعداد پورت ها فعال ، ايجاد محدوديت در رابطه به پروتکل هاي خاص ، ايجاد محدوديت در نوع بسته هاي اطلاعاتي و ... نمونه هائي از عملياتي است که مي توان با استفاده از يک فايروال انجام داد.
• رمزنگاري . فرآيندي است که با استفاده از آن کامپيوتر مبداء اطلاعاتي رمزشده را براي کامپيوتر ديگر ارسال مي نمايد. ساير کامپيوترها ي مجاز قادر به رمزگشائي اطلاعات ارسالي خواهند بود. بدين ترتيب پس از ارسال اطلاعات توسط فرستنده ، دريافت کنندگان، قبل از استفاده از اطلاعات مي بايست اقدام به رمزگشائي اطلاعات ارسال شده نمايند. سيستم هاي رمزنگاري در کامپيوتر به دو گروه عمده تقسيم مي گردد : رمزنگاري کليد متقارن و رمزنگاري کليد عمومي
در رمز نگاري " کليد متقارن " هر يک از کامپيوترها داراي يک کليد Secret ( کد ) بوده که با استفاده از آن قادر به رمزنگاري يک بسته اطلاعاتي قبل از ارسال در شبکه براي کامپيوتر ديگر مي باشند. در روش فوق مي بايست در ابتدا نسبت به کامپيوترهائي که قصد برقراري و ارسال اطلاعات براي يکديگر را دارند ، آگاهي کامل وجود داشته باشد. هر يک از کامپيوترهاي شرکت کننده در مبادله اطلاعاتي مي بايست داراي کليد رمز مشابه به منظور رمزگشائي اطلاعات باشند. به منظور رمزنگاري اطلاعات ارسالي نيز از کليد فوق استفاده خواهد شد. فرض کنيد قصد ارسال يک پيام رمز شده براي يکي از دوستان خود را داشته باشيد. بدين منظور از يک الگوريتم خاص براي رمزنگاري استفاده مي شود .در الگوريتم فوق هر حرف به دوحرف بعد از خود تبديل مي گردد.(حرف A به حرف C ، حرف B به حرف D ) .پس از رمزنمودن پيام و ارسال آن ، مي بايست دريافت کننده پيام به اين حقيقت واقف باشد که براي رمزگشائي پيام لرسال شده ، هر حرف به دو حرق قبل از خود مي باطست تبديل گردد. در چنين حالتي مي باطست به دوست امين خود ، واقعيت فوق ( کليد رمز ) گفته شود. در صورتي که پيام فوق توسط افراد ديگري دريافت گردد ، بدليل عدم آگاهي از کليد ، آنان قادر به رمزگشائي و استفاده از پيام ارسال شده نخواهند بود.
در رمزنگاري عمومي از ترکيب يک کليد خصوصي و يک کليد عمومي استفاده مي شود. کليد خصوصي صرفا" براي کامپيوتر شما ( ارسال کننده) قابل شناسائي و استفاده است . کليد عمومي توسط کامپيوتر شما در اختيار تمام کامپيوترهاي ديگر که قصد ارتباط با آن را داشته باشند ، گذاشته مي شود. به منظور رمزگشائي يک پيام رمز شده ، يک کامپيوتر مي بايست با استفاده از کليد عمومي ( ارائه شده توسط کامپيوتر ارسال کننده ) ، کليد خصوصي مربوط به خود اقدام به رمزگشائي پيام ارسالي نمايد . يکي از متداولترين ابزار "رمزنگاري کليد عمومي" ، روشي با نام PGP)Pretty Good Privacy) است . با استفاده از روش فوق مي توان اقدام به رمزنگاري اطلاعات دلخواه خود نمود.
• IPSec . پروتکل IPsec)Internet protocol security protocol) ، يکي از امکانات موجود براي ايجاد امنيت در ارسال و دريافت اطلاعات مي باشد . قابليت روش فوق در مقايسه با الگوريتم هاي رمزنگاري بمراتب بيشتر است . پروتکل فوق داراي دو روش رمزنگاري است : Tunnel ، Transport . در روش tunel ، هدر و Payload رمز شده درحاليکه در روش transport صرفا" payload رمز مي گردد. پروتکل فوق قادر به رمزنگاري اطلاعات بين دستگاههاي متفاوت است :
- روتر به روتر
- فايروال به روتر
- کامپيوتر به روتر
- کامپيوتر به سرويس دهنده
• سرويس دهنده AAA . سرويس دهندگان( AAA : Authentication ,Authorization,Accounting) به منظور ايجاد امنيت بالا در محيط هاي VPN از نوع " دستيابي از راه دور " استفاده مي گردند. زمانيکه کاربران با استفاده از خط تلفن به سيستم متصل مي گردند ، سرويس دهنده AAA درخواست آنها را اخذ و عمايات زير را انجام خواهد داد :
- شما چه کسي هستيد؟ ( تاييد ، Authentication )
- شما مجاز به انجام چه کاري هستيد؟ ( مجوز ، Authorization )
- چه کارهائي را انجام داده ايد؟ ( حسابداري ، Accounting )

تکنولوژي هاي VPN

با توجه به نوع VPN ( " دستيابي از راه دور " و يا " سايت به سايت " ) ، به منظور ايجاد شبکه از عناصر خاصي استفاده مي گردد:
• نرم افزارهاي مربوط به کاربران از راه دور
• سخت افزارهاي اختصاصي نظير يک " کانکتور VPN" و يا يک فايروال PIX
• سرويس دهنده اختصاصي VPN به منظور سرويُس هاي Dial-up
• سرويس دهنده NAS که توسط مرکز ارائه خدمات اينترنت به منظور دستيابي به VPN از نوع "دستيابي از را دور" استفاده مي شود.
• شبکه VPN و مرکز مديريت سياست ها
با توجه به اينکه تاکنون يک استاندارد قابل قبول و عمومي به منظور ايجاد شVPN ايجاد نشده است ، شرکت هاي متعدد هر يک اقدام به توليد محصولات اختصاصي خود نموده اند.
• کانکتور VPN . سخت افزار فوق توسط شرکت سيسکو طراحي و عرضه شده است. کانکتور فوق در مدل هاي متفاوت و قابليت هاي گوناگون عرضه شده است . در برخي از نمونه هاي دستگاه فوق امکان فعاليت همزمان 100 کاربر از راه دور و در برخي نمونه هاي ديگر تا 10.000 کاربر از راه دور قادر به اتصال به شبکه خواهند بود.
• روتر مختص VPN . روتر فوق توسط شرکت سيسکو ارائه شده است . اين روتر داراي قابليت هاي متعدد به منظور استفاده در محيط هاي گوناگون است . در طراحي روتر فوق شبکه هاي VPN نيز مورد توجه قرار گرفته و امکانات مربوط در آن بگونه اي بهينه سازي شده اند.
• فايروال PIX . ( فايروال PIX (Private Internet eXchange قابليت هائي نظير NAT ، سرويس دهنده Proxy ، فيلتر نمودن بسته اي اطلاعاتي ، فايروال و VPN را در يک سخت افزار فراهم نموده است .

Tunneling( تونل سازي )

اکثر شبکه هاي VPN به منظور ايجاد يک شبکه اختصاصي با قابليت دستيابي از طريق اينترنت از امکان " Tunneling " استفاده مي نمايند. در روش فوق تمام بسته اطلاعاتي در يک بسته ديگر قرار گرفته و از طريق شبکه ارسال خواهد شد. پروتکل مربوط به بسته اطلاعاتي خارجي ( پوسته ) توسط شبکه و دو نفطه (ورود و خروج بسته اطلاعاتي ) قابل فهم مي باشد. دو نقظه فوق را "اينترفيس هاي تونل " مي گويند. روش فوق مستلزم استفاده از سه پروتکل است :
• پروتکل حمل کننده . از پروتکل فوق شبکه حامل اطلاعات استفاده مي نمايد.
• پروتکل کپسوله سازي . از پروتکل هائي نظير: IPSec,L2F,PPTP,L2TP,GRE استفاده مي گردد.
• پروتکل مسافر . از پروتکل هائي نظير IPX,IP,NetBeui به منظور انتقال داده هاي اوليه استفاده مي شود.
با استفاده از روش Tunneling مي توان عمليات جالبي را انجام داد. مثلا" مي توان از بسته اي اطلاعاتي که پروتکل اينترنت را حمايت نمي کند ( نظير NetBeui) درون يک بسته اطلاعاتي IP استفاده و آن را از طريق اينترنت ارسال نمود و يا مي توان يک بسته اطلاعاتي را که از يک آدرس IP غير قابل روت ( اختصاصي ) استفاده مي نمايد ، درون يک بسته اطلاعاتي که از آدرس هاي معتبر IP استفاده مي کند ، مستقر و از طريق اينترنت ارسال نمود.
در شبکه هاي VPN از نوع " سايت به سايت " ، GRE)generic routing encapsulation) به عنوان پروتکل کپسوله سازي استفاده مي گردد. فرآيند فوق نحوه استقرار و بسته بندي " پروتکل مسافر" از طريق پروتکل " حمل کننده " براي انتقال را تبين مي نمايد. ( پروتکل حمل کننده ، عموما" IP است ) . فرآيند فوق شامل اطلاعاتي در رابطه با نوع بست هاي اطلاعاتي براي کپسوله نمودن و اطلاعاتي در رابطه با ارتباط بين سرويس گيرنده و سرويس دهنده است . در برخي موارد از پروتکل IPSec ( در حالت tunnel) براي کپسوله سازي استفاده مي گردد.پروتکل IPSec ، قابل استفاده در دو نوع شبکه VPN ( سايت به يايت و دستيابي از راه دور ) است . اينترفيش هاي Tunnel مي بايست داراي امکانات حمايتي از IPSec باشند.
در شبکه هاي VPN از نوع " دستيابي از راه دور " ، Tunneling با استفاده از PPP انجام مي گيرد. PPP به عنوان حمل کننده ساير پروتکل هاي IP در زمان برقراري ارتباط بين يک سيستم ميزبان و يک سيستم ازه دور ، مورد استفاده قرار مي گيرد.
هر يک از پروتکل هاي زير با استفاده از ساختار اوليه PPP ايجاد و توسط شبکه هاي VPN از نوع " دستيابي از راه دور " استفاده مي گردند:
• L2F)Layer 2 Forwarding) . پروتکل فوق توسط سيسکو ايجاد شده است . در پروتکل فوق از مدل هاي تعيين اعتبار کاربر که توسط PPP حمايت شده اند ، استفاده شد ه است .
• PPTP)Point-to-Point Tunneling Protocol) . پروتکل فوق توسط کنسرسيومي متشکل از شرکت هاي متفاوت ايجاد شده است . اين پروتکل امکان رمزنگاري 40 بيتي و 128 بيتي را دارا بوده و از مدل هاي تائيد اعتبار کاربر که توسط PPP حمايت مي گردد ، استفاده مي نمايد.
• L2TP)Layer 2 Tunneling Protocol) . پروتکل فوق با همکاري چندين شرکت ايجاد شده است .پروتکل فوق از ويژگي هاي PPTP و L2F استفاده کرده است . پروتکل L2TP بصورت کامل IPSec را حمايت مي کند. از پروتکل فوق به منظور ايجاد تونل بين موارد زير استفاده مي گردد :
- سرويس گيرنده و روتر
- NAS و روتر
- روتر و روتر
عملکرد Tunneling مشابه حمل يک کامپيوتر توسط يک کاميون است . فروشنده ، پس از بسته بندي کامپيوتر ( پروتکل مسافر ) درون يک جعبه ( پروتکل کپسوله سازي ) آن را توسط يک کاميون ( پروتکل حمل کننده ) از انبار خود ( ايترفيس ورودي تونل ) براي متقاضي ارسال مي دارد. کاميون ( پروتکل حمل کننده ) از طريق بزرگراه ( اينترنت ) مسير خود را طي ، تا به منزل شما ( اينترفيش خروجي تونل ) برسد. شما در منزل جعبه ( پروتکل کپسول سازي ) را باز و کامپيوتر ( پروتکل مسافر) را از آن خارج مي نمائيد.