Uchta ofis uchun yagona tarmoq. Tarmoqlarni birlashtirish. Tarmoq vazifalari

25.03.2020

asosiy maqsad mahalliy ofis tarmoqlarini birlashtirish - tashkilotning geografik taqsimlangan axborot resurslaridan shaffof foydalanishni ta'minlash. Ofis tarmoqlarini birlashtirish quyidagi eng keng tarqalgan muammolarni hal qilishga imkon beradi:

ofis ATSning yagona raqam sig'imidan foydalanish;
resurslarga kirish uchun foydalanuvchi avtorizatsiyasini ta'minlash (umumiy papkalar, intranet sayti, Elektron pochta h.k.) hozirgi joylashuvidan qat'i nazar;
tashkilot xodimlarining turli ofislarda joylashgan resurslarga xavfsiz kirishini ta'minlash (masalan, xodimlarning ofislardan birida o'rnatilgan 1C korporativ serveri bilan ishlashini ta'minlash);
terminalga kirish (masofali ish stoli boshqaruvi) yordamida masofaviy kompyuterda ishlash;
xizmat samaradorligi va samaradorligini oshirish texnik yordam kompyuterlarni, serverlarni va boshqa jihozlarni masofadan boshqarish imkoniyati, shuningdek, yordam ko'rsatish uchun o'rnatilgan Windows vositalaridan samarali foydalanish - Remote Assistant tufayli.

Ofis tarmoqlarining integratsiyasini amalga oshirish usullari

Ofislar va masofaviy filiallarning mahalliy tarmoqlarini birlashtirish uchun virtual xususiy tarmoq texnologiyasi qo'llaniladi - VPN (Virtual Private Network). Ushbu texnologiya kompyuter tarmoqlari orqali uzatiladigan ma'lumotlarni kriptografik himoya qilish uchun mo'ljallangan. Virtual xususiy tarmoq - bu tarmoq trafigini shifrlaydigan bir nechta VPN shlyuzlari orasidagi tarmoq ulanishlari to'plami. VPN shlyuzlari kriptografik shlyuzlar yoki kripto-shlyuzlar deb ham ataladi.

Tashkilotning yagona xavfsiz korporativ tarmog'ini yaratishning ikkita usuli mavjud:

uskunalar va Internet-provayderning tegishli xizmatlaridan foydalanish;

bosh ofis va filiallarda joylashgan o'z uskunamizdan foydalangan holda.

VPN va xizmatlar Internet-provayder tomonidan taqdim etiladi

Ushbu yechim bosh ofis va filiallar bir xil Internet-provayder orqali Internetga ulangan bo'lsa qo'llaniladi. Agar kompaniyaning filiallari shaharlar bo'ylab tarqalib ketgan bo'lsa va hatto turli mamlakatlar, sizga kerakli darajada xizmat ko'rsata oladigan va hamyonbop narxda provayder bo'lishi dargumon.

Agar sizning ofislaringiz bir shaharda joylashgan bo'lsa, Internet-provayderingizdan ofislaringizning mahalliy tarmoqlarini bitta tarmoqqa birlashtira oladimi yoki yo'qligini tekshirib ko'ring. Ehtimol, bu yechim siz uchun xarajat nuqtai nazaridan optimal bo'ladi.

Ofis va filiallar tarmoqlarini mustaqil ravishda birlashtirish

VPN texnologiyasidan foydalangan holda ikkita tarmoqni birlashtirish usuli ingliz tilidagi adabiyotlarda "Peer-to-Peer VPN" yoki "sayt-to-sayt VPN" deb ataladi. Ikki tarmoq o'rtasida "shaffof shifrlash" rejimi o'rnatiladi. IPSec protokoli ko'pincha IP tarmoqlarida trafikni shifrlash va uzatish uchun ishlatiladi.

Markaziy ofis va kichik kompaniyalarning filiallari o'rtasida VPN ulanishlarini (VPN tunnellari) tashkil qilish uchun o'rnatilgan VPN-ni qo'llab-quvvatlaydigan apparat Internet shlyuzlaridan (xavfsizlik devori) foydalanishni tavsiya etamiz. Bunday shlyuzlarga misol bo'lishi mumkin ZyXEL ZyWALL , Netgear xavfsizlik devori , Check Point Safe@Office, va h.k. Ushbu toifadagi mahsulotlar kichik kompaniyalarda foydalanish uchun mo'ljallangan o'rtacha raqam xodimlar soni 5 dan 100 kishigacha. Ushbu qurilmalarni sozlash oson, yuqori ishonchlilik va etarli ishlashga ega.

Tashkilotning bosh ofisida ko'pincha Microsoft Internet Security va Acceleration Server 2006 (Microsoft ISA 2006), CheckPoint Express, CheckPoint VPN-1 Edge va boshqalar kabi integratsiyalangan tarmoq xavfsizligi echimlari o'rnatiladi. Ushbu himoyalarni boshqarish uchun yuqori malakali xodimlar talab qilinadi, ular, qoida tariqasida, bosh ofisda mavjud yoki autsorsing kompaniyasidan qarz oladi.

Amaldagi uskunadan qat'i nazar, umumiy sxema Masofaviy ofislarning mahalliy tarmoqlarini bitta tarmoqqa xavfsiz birlashtirish uchun Peer-to-Peer VPN-ni yaratish:

Shuni ham ta'kidlash kerakki, Cisco VPN Concentrator, Continent-K va boshqalar kabi maxsus apparat kriptovalyuta shlyuzlari mavjud. Ularning qo'llanish doirasi o'rta va yuqori hajmli tarmoqlardir. yirik kompaniyalar, bu erda tarmoq trafigini shifrlashda yuqori ish faoliyatini ta'minlash, shuningdek, maxsus xususiyatlarni ta'minlash kerak. Masalan, GOST ("Continent-K") ga muvofiq ma'lumotlarni shifrlashni ta'minlang.

Uskunani tanlashda nimalarga e'tibor berish kerak

Virtual xususiy tarmoqni (VPN) tashkil qilish uchun uskunani tanlashda siz quyidagi xususiyatlarga e'tibor berishingiz kerak:

bir vaqtning o'zida qo'llab-quvvatlanadigan VPN tunnellari soni;

ishlash;

VPN tunnelidagi tarmoq trafigini filtrlash imkoniyati (bu funksiya barcha Internet shlyuzlarida qo'llanilmaydi);

QoS sifatini boshqarishni qo'llab-quvvatlash (tarmoqlar o'rtasida ovozli trafikni uzatishda juda foydali);

mavjud uskunalar va qo'llaniladigan texnologiyalar bilan muvofiqligi.

Uskuna yechimlari Arzon apparat Internet shlyuzlarida qurilgan yechimlarning afzalliklari

Arzon;
Yuqori ishonchlilik (zaxiraga ehtiyoj yo'q, quvvat o'chirilganda hech narsa noto'g'ri bo'lmaydi);
Boshqarish qulayligi;
Kam quvvat sarfi;
Kam joy egallaydi, har qanday joyga o'rnatilishi mumkin;
VPN-ni qurish uchun tanlangan platformaga qarab, VPN shlyuziga qo'shimcha xizmatlarni o'rnatish mumkin: Internet-trafikni virusga qarshi skanerlash, hujumlar va tajovuzlarni aniqlash va boshqalar, bu tarmoq xavfsizligining umumiy darajasini sezilarli darajada oshiradi va kamaytiradi. umumiy xarajat keng qamrovli tarmoq himoyasi uchun echimlar.

Kamchiliklar

Yechim kengaytirilmaydi, unumdorlikni oshirish uskunani to'liq almashtirish orqali erishiladi;
Sozlamalarda kamroq moslashuvchan;
Microsoft Active Directory (yoki LDAP) bilan integratsiya odatda qo'llab-quvvatlanmaydi.

Dasturiy yechimlar Dasturiy yechimlarning afzalliklari

Moslashuvchanlik;
Masshtablilik, ya'ni. kerak bo'lganda hosildorlikni oshirish qobiliyati;
Microsoft Active Directory bilan qattiq integratsiya (Microsoft ISA 2006, CheckPoint)

Kamchiliklar

Yuqori narx;
Boshqaruvning murakkabligi.

Qayerdan boshlash kerak

Mahalliy ofis tarmoqlarini VPN orqali yagona tarmoqqa birlashtirish loyihasini amalga oshirish uchun uskuna va dasturiy ta’minotni (keyingi o‘rinlarda dasturiy ta’minot) tanlashni boshlashdan oldin sizda quyidagi ma’lumotlar bo‘lishi kerak:

Topologiyani aniqlang:

Meshed (to'liq ulangan) - har bir sayt avtomatik ravishda boshqa istalgan sayt bilan shifrlangan ulanishni tashkil qilishi mumkin;
Yulduz (yulduz) - filiallar markaziy sayt bilan xavfsiz ulanishlarni tashkil qilishi mumkin;
Hub va Spoke (markaz orqali ulanish) - filiallar markaziy saytning uyasi orqali bir-biriga ulanishi mumkin;
Masofaviy kirish - foydalanuvchilar va guruhlar bir yoki bir nechta saytlarga xavfsiz ulanishlarni o'rnatishlari mumkin;
Yuqoridagi usullarning kombinatsiyasi (masalan, Mesh markazi topologiyasi bo'lgan yulduz, unda masofaviy filiallar tarmoqli topologiyaga ega bo'lgan markaziy VPNning barcha a'zolari bilan ma'lumot almashishi mumkin).

Filiallar soni (bir vaqtning o'zida qancha VPN ulanishlari bosh ofis uskunalari tomonidan qo'llab-quvvatlanishi kerak);

Markaziy ofis va har bir filialda foydalanuvchilar soni;

Har bir filialda qanday uskunalar va/yoki dasturiy ta'minot qo'llaniladi (mavjud uskunalar va/yoki dasturiy ta'minotdan foydalanish imkoniyatlarini hisobga olish uchun ma'lumotlar zarur);

Filiallarni Internetga ulash bo'yicha ma'lumotlar: IP-manzilni belgilash - dinamik yoki statik, aloqa kanali tezligi;

Axborot xavfsizligini boshqarishga qanday yondashuv qo'llaniladi (tarmoq perimetri himoyasi, antivirus xavfsizligi): bosh ofis va filiallarni bitta xavfsizlik ma'muri tomonidan markazlashtirilgan boshqarish ( tizim administratori), yoki har bir filialning o'z tizim administratori mavjud.

Markaziy ofis tarmog'iga kirish xavfini minimallashtirish uchun tashkilotning filiallari tarmoqlarini himoya qilishga e'tibor qaratish lozim. Agar filial tarmoqlari ham xavfsiz tarzda himoyalanmasa, VPN dan foydalanish hujumdan ishonchli himoyani kafolatlamaydi. Agar tajovuzkor filial tarmog'iga ruxsatsiz kirish huquqiga ega bo'lsa, u bosh ofis axborot tizimiga ham kirish imkoniyatiga ega bo'ladi, chunki bosh ofis va filial tarmoqlari VPN orqali yagona tarmoqqa birlashtirilgan.

Bitta tashkilotning uzoq bo'limlari o'rtasida ma'lumotlar almashinuvi har doim vaqtni va ba'zan murakkab texnik manipulyatsiyalarni talab qiladi. Bugungi kunda bunday noqulayliklarni bartaraf etish juda oson, ya'ni siz uning filiallari va olis ofislarini yagona infratuzilmaga birlashtirib, umuman korxonaning unumdorligini oshirishingiz mumkin. Buni ofislarni umumiy joyga birlashtirish orqali real tarzda amalga oshirish mumkin korporativ tarmoq.

Bit va Bayt kompaniyasi vakolatxonalari bo'lgan barcha tashkilotlarga, shu jumladan boshqa shaharlarda ham yagona VPN tarmog'ini o'rnatishni taklif qiladi. Axir, ko'pincha ularning faoliyatining o'ziga xos xususiyatlari shundan iboratki, filiallar har kuni ma'lumot almashishlari va bir-birining ma'lumotlar bazalarini ko'rib chiqishlari kerak. General dasturiy ta'minot barcha mahalliy tarmoqlardan - bu tezkor ma'lumot almashinuvini va korxonani masofadan boshqarish qobiliyatini tashkil qilishning eng amaliy va oqilona usuli.

Ofislarni yagona tarmoqqa birlashtirib nima olasiz?

Ofislarni yagona tarmoqqa birlashtirish xizmati bir korxonaning ikki yoki undan ortiq bo‘linmalari (filiallari, idoralari) o‘rtasida VPN protokollari asosida himoyalangan axborotni tezkor almashish uchun yaratilgan to‘liq tarmoqni yaratishni nazarda tutadi. Biznesni rivojlantirishning hozirgi sharoitida bunday korporativ tarmoqlar ayniqsa dolzarbdir, chunki ular korxona va uning hududiy filiallarini boshqarishni takomillashtirish imkonini beradi.

Korxonangizning barcha filiallarini yagona tarmoqqa birlashtirib, siz:

Internet orqali bir-biridan uzoqda joylashgan ofislar tarmog‘ini boshqarish, har bir filialning jihozlaridan foydalanish imkoniyatini qo‘lga kiritish;

markaziy ma'lumotlar bazasini yaratish va undan foydalanish, bu ofislar tarmog'ini boshqarish uchun juda qulaydir;

axborotni yo'qotish xavfisiz barcha bo'limlarga korxonaning ichki resurslaridan foydalanishni ta'minlash.

Yagona tarmoq yaratish orqali ofislarni birlashtirish - bu xizmatga arzimaydi katta pul. Qo'shimcha VPN kirish nuqtalarini sotib olish orqali uni asosiy server darajasida sozlash mumkin. Ofis tarmoqlarini birlashtirishdan oldin sizdan barcha ma'lumotlarni tekshirish va qayta ishlash so'raladi. Bu ularni xakerlik hujumlaridan himoya qilish uchun filiallardagi barcha ma'lumotlarni tasniflash imkonini beradi.

Ofislarni yagona tarmoqqa birlashtirish foydalidir

Bugungi kunda tobora ko'proq korxonalar ofis tarmoqlarini birlashtirishga murojaat qilmoqdalar, bu nafaqat qulay va xavfsiz. Bunday birlashmaning maqsadi va maqsadi, shuningdek, bunday xizmatdan olinadigan foyda:

xarajatlar sezilarli darajada kamayadi, chunki har bir ofisni saqlash zarurati yo'qoladi va markaziy server resurslari har bir filial uchun mavjud bo'ladi;
dasturiy ta'minot litsenziyasini olishda foyda ham sezilarli bo'ladi;
barcha ofislar foydalanadi axborot resurslari u yoki bu filialning qaerda joylashganidan qat'i nazar, bir-biriga;
texnik mutaxassislarning katta xodimlariga ehtiyoj yo'q, chunki muammolarning aksariyati masofadan turib hal qilinadi;
siz bir vaqtning o'zida barcha bo'limlar bilan videokonferentsiyalar, seminarlar va uchrashuvlar o'tkazishingiz mumkin va bu vaqtni sezilarli darajada tejaydi.

Bundan tashqari, maxsus ma'lumotlarni qayta ishlash tufayli filiallar o'rtasidagi hujjat aylanishi imkon qadar xavfsizdir.

Ofis tarmoqlarini qanday birlashtirish kerak Barcha mobil xodimlar va masofaviy filiallar uchun yagona shaxsiy tarmoqni qanday yaratish kerak VPN nima?

Faraz qilaylik, shaharning turli joylarida yoki turli shahar yoki mamlakatlarda ikkita ofisimiz bor va ularning har biri internetga ulangan. Ish uchun, aytaylik, bitta sifatida 1C korporativ tizim biz ularni yagona lokal tarmoqqa birlashtirishimiz kerak. (Biz 1C uchun taqsimlangan ma'lumotlar bazalari ko'rinishidagi echimlarni taklif qilishimizga qaramay. Ba'zida bitta tarmoq yaratish va server sizning binongizda joylashgani kabi to'g'ridan-to'g'ri 1C serveriga ulanish osonroq)

Siz, albatta, ikki shahar o'rtasida shaxsiy chiziq sotib olishingiz mumkin, lekin bu qaror bu juda qimmatga tushishi mumkin.
Virtual xususiy tarmoqdan (VPN - Virtual Private Network) foydalanadigan yechim bizni Internet orqali shifrlangan tunnel yaratish orqali ushbu ajratilgan liniyani tashkil etishga taklif qiladi.VPNning ajratilgan aloqa liniyalariga nisbatan asosiy afzalligi bu kanal to'liq ishlaganda kompaniya pulini tejashdir. yopiq.
Iste'molchi nuqtai nazaridan VPN - bu ochiq Internet kanallari orqali serverlar, ma'lumotlar bazalari va korporativ tarmog'ingizning istalgan resurslariga masofaviy xavfsiz kirishni tashkil qilish imkonini beruvchi texnologiya. Aytaylik, A shahridagi buxgalter mijoz kelgan B shahridagi kotibning printerida schyot-fakturani bemalol bosib chiqarishi mumkin. Noutbuklaridan VPN orqali ulangan masofaviy xodimlar ham xuddi o‘z ofislarining jismoniy tarmog‘ida bo‘lganidek tarmoqda ishlashlari mumkin bo‘ladi.

Ko'pincha mijozlar *tormozlarga* duch kelishadi. kassa apparatlari Masofaviy ish stolidan foydalanganda siz VPN-ni o'rnatishingiz kerak bo'ladi. Bu sizga kassa apparati uchun ma'lumotlarni Internet orqali virtual COM orqali serverga oldinga va orqaga yuborishdan xalos bo'lishga imkon beradi va kassa bilan to'g'ridan-to'g'ri aloqa qiladigan istalgan nuqtada nozik mijozni o'rnatishga imkon beradi, faqat kerakli ma'lumotlarni jo'natadi. yopiq kanal orqali serverga ma'lumot. RDP interfeysini to'g'ridan-to'g'ri Internetga uzatish kompaniyangizni juda katta xavflarga duchor qiladi.

Ulanish usullari

VPN-ni tashkil qilish usullari quyidagi ikkita asosiy usulni ajratib ko'rsatish uchun eng mos keladi:

(Mijoz - Tarmoq) Modem yoki umumiy tarmoq orqali alohida xodimlarning tashkilotning korporativ tarmog'iga masofadan kirishi.
(Tarmoq - Tarmoq) Ikki yoki undan ortiq ofislarni Internet orqali yagona xavfsiz virtual tarmoqqa birlashtirish

Ko'pgina qo'llanmalar, ayniqsa Windows uchun, birinchi sxema bo'yicha ulanishni tavsiflaydi. Shu bilan birga, siz tushunishingiz kerakki, bu ulanish tunnel emas, faqat VPN tarmog'iga ulanish imkonini beradi.Ushbu tunnellarni tashkil qilish uchun bizga faqat 1 ta oq IP kerak, chunki masofaviy ofislar soniga ko'ra emas. ko'pchilik noto'g'ri ishonishadi.

Rasmda A bosh ofisiga ulanishning ikkala varianti ko'rsatilgan.

Ofislarning yagona tarmoqqa integratsiyalashuvini ta'minlash uchun A va B ofislari o'rtasida kanal tashkil etilgan. Bu ularning birida joylashgan har qanday qurilmalar uchun ikkala ofisning shaffofligini ta'minlaydi, bu ko'plab muammolarni hal qiladi. Masalan, IP telefonlari bilan bitta ATS ichida bitta raqam sig'imini tashkil qilish.

A ofisining barcha xizmatlari mobil mijozlar uchun mavjud va agar B ofis yagona virtual tarmoqda joylashgan bo'lsa, uning xizmatlari ham mavjud.

Bunday holda, ulanish usuli mobil mijozlar odatda PPTP (Point-to-Point Tunneling Protocol) Nuqtadan nuqtaga tunnel protokoli va ikkinchi IPsec yoki OpenVPN tomonidan amalga oshiriladi.

PPTP

(Point-to-Point Tunneling Protocol bumagin-lohg) - bu Microsoft kompaniyasining asosi bo'lgan nuqtadan nuqtaga tunnel o'tkazish protokoli va PPP (Point-to-Point Protocol) ning kengaytmasi bo'lib, shuning uchun uni autentifikatsiya qilish, siqish va shifrlash mexanizmlari. PPTP protokoli Windows XP Remote Access Client dasturiga o'rnatilgan. Ushbu protokolning standart tanlovi bilan Microsoft MPPE (Microsoft Point-to-Point Encryption) shifrlash usulidan foydalanishni taklif qiladi. Siz ma'lumotlarni shifrlamasdan uzatishingiz mumkin ochiq shakl. PPTP protokoli yordamida ma'lumotlarni inkapsulyatsiya qilish PPP protokoli tomonidan qayta ishlangan ma'lumotlarga GRE (Generic Routing Encapsulation) sarlavhasi va IP sarlavhasini qo'shish orqali amalga oshiriladi.

Muhim xavfsizlik muammolari tufayli, qurilmaning boshqa VPN protokollari bilan mos kelmasligidan tashqari, PPTP ni boshqa protokollarga nisbatan tanlashga hech qanday sabab yo'q. Agar qurilmangiz L2TP/IPsec yoki OpenVPN-ni qo'llab-quvvatlasa, ushbu protokollardan birini tanlash yaxshidir.

Shuni ta'kidlash kerakki, deyarli barcha qurilmalar, shu jumladan mobil qurilmalarda OS (Windows, iOS, Android) ga o'rnatilgan mijoz mavjud bo'lib, u sizga darhol ulanishni o'rnatish imkonini beradi.

L2TP

(Layer Two Tunneling Protocol) PPTP (Microsoft'dan) va L2F (Cisco'dan) protokollarining kombinatsiyasidan kelib chiqqan va ushbu ikkita protokolning eng yaxshilarini o'z ichiga olgan yanada rivojlangan protokoldir. Birinchi variantga qaraganda xavfsizroq ulanishni ta'minlaydi; shifrlash IPSec protokoli (IP-xavfsizligi) yordamida amalga oshiriladi. L2TP Windows XP masofaviy kirish mijoziga ham o'rnatilgan; bundan tashqari, ulanish turini avtomatik ravishda aniqlashda mijoz birinchi navbatda ushbu protokol yordamida serverga ulanishga harakat qiladi, chunki u xavfsizlik nuqtai nazaridan afzalroqdir.

Shu bilan birga, IPsec protokolida kerakli parametrlarni muvofiqlashtirish kabi muammo mavjud.Ko'pgina ishlab chiqaruvchilar o'z parametrlarini konfiguratsiya imkoniyatisiz sukut bo'yicha o'rnatishlarini hisobga olsak, ushbu protokoldan foydalanadigan apparat mos kelmaydi.

OpenVPN

OpenVPN texnologiyalari tomonidan yaratilgan ilg'or ochiq VPN yechimi, endi bu VPN texnologiyalarida de-fakto standart hisoblanadi. Yechim SSL/TLS shifrlash protokollaridan foydalanadi. OpenVPN shifrlashni ta'minlash uchun OpenSSL kutubxonasidan foydalanadi. OpenSSL qo'llab-quvvatlaydi katta miqdorda 3DES, AES, RC5, Blowfish kabi turli kriptografik algoritmlar. IPSec-da bo'lgani kabi, CheapVPN ham ekstremalni o'z ichiga oladi yuqori daraja shifrlash - kalit uzunligi 256 bit bo'lgan AES algoritmi.
OpenVPN - bu WEB-dan boshqa qo'shimcha protokollarni ochish uchun to'lovlarni kesadigan yoki undiradigan provayderlarni chetlab o'tishga imkon beruvchi yagona yechim. Bu, asosan, kuzatish mumkin bo'lmagan kanallarni tashkil qilish imkonini beradi va bizda bunday echimlar mavjud

Endi sizda VPN nima va u qanday ishlashi haqida bir oz tasavvurga egasiz. Agar siz menejer bo'lsangiz, o'ylab ko'ring, ehtimol bu siz qidirayotgan narsadir

pfSense platformasida OpenVPN serverini o'rnatish misoli

Server yaratish

Interfeys: WAN (Internetga ulangan server tarmoq interfeysi)
Protokol: UDP
Mahalliy port: 1194
Tavsif: pfSenseOVPN (har qanday qulay nom)
Tunnel tarmog'i: 10.0.1.0/24
Qayta yo'naltirish shlyuzi: Yoqish (Agar siz barcha mijoz Internet-trafigini VPN server orqali qayta yo'naltirilishini xohlamasangiz, ushbu parametrni o'chiring.)
Mahalliy tarmoq: bo'sh qoldiring (agar xohlasangiz mahalliy tarmoq, pfSense serverining orqasida joylashgan, masofaviy VPN mijozlari uchun ochiq edi, ushbu tarmoqning manzil maydonini shu yerga kiriting. Aytaylik, 192.168.1.0/24)
Bir vaqtning o'zida ulanishlar: 2 (Agar siz sotib olgan bo'lsangiz qo'shimcha litsenziya OpenVPN masofaviy kirish serveri, sotib olingan litsenziyalar soniga mos keladigan raqamni kiriting)
Mijozlararo aloqa: Yoqish (Agar VPN mijozlari bir-birini koʻrishini istamasangiz, ushbu parametrni oʻchirib qoʻying)
DNS Server 1 (2 va boshqalar): pfSense xostining DNS serverlarini belgilang. (siz ularning manzillarini tizim > Umumiy sozlash > DNS serverlari bo‘limida bilib olishingiz mumkin)

Keyinchalik, biz mijozlar yaratamiz va mijoz dasturlari uchun konfiguratsiya protseduralarini soddalashtirish uchun pfSense taqdim etadi qo'shimcha vosita– “OpenVPN Client Export Utility”. Ushbu vosita avtomatik ravishda mijozlar uchun o'rnatish paketlari va fayllarini tayyorlaydi, buning oldini oladi qo'lda sozlash OpenVPN mijozi.

Ofislar orasidagi VPN ulanishlari biznes xavfsizligi talablarini qamrab oladi:

Ofislardan, shuningdek, bosh ofisdan ma'lumotlarga markazlashtirilgan kirish imkoniyati
Birlashtirilgan korporativ Axborot tizimi
Bitta kirish nuqtasi bo'lgan korxona ma'lumotlar bazalari
Bir martalik kirish bilan biznes elektron pochtasi
Ofislar o'rtasida uzatiladigan ma'lumotlarning maxfiyligi

Agar siz VPN texnologiyasini sozlashda qiyinchiliklarga duch kelsangiz yoki hali VPN texnologiyasini tanlashga qaror qilmagan bo'lsangiz, bizga qo'ng'iroq qiling!

Mutaxassis Denis Goryainov bilan bog'laning Texnik direktor+79851256588 Savol bering

Ikki yoki undan ortiq mahalliy tarmoqlarni ulash Tarmoqqa ulanish vazifalari:

1. bir nechta masofaviy ofislar va filiallar o'rtasida tezkor, xavfsiz va ishonchli ma'lumotlar almashinuvini yo'lga qo'yish;

2. mobil xodimlarni mahalliy tarmoqqa ulash, xavfsizlikni ta'minlash ulanishlar ;

3. xarajatlarni tejash va nazorat qilish va kommutatsiya qulayligi uchun filiallar uchun yagona telefon kanalini yaratish;

4. markazlashgan Internet-kanal yaratish va filiallar o‘rtasida trafikni taqsimlash;

5. masofaviy idoralarni “markaz” nazoratiga olish.

Agar siz ushbu muammolarni hal qilishingiz kerak bo'lsa, ZSC xizmati kompaniyangizga barcha masofaviy filiallar va xodimlarni yagona tarmoqqa ulash imkonini beradi.

Mahalliy tarmoqlarni birlashtirish

Kompaniyalar bir nechta filial va idoralarni birlashtirishi kerak bo'lganda, bugungi kunda pudratchi uchun shunchaki markazlashtirilgan mahalliy tarmoqni tashkil etish va axborot almashinuvini yo'lga qo'yish etarli emas.

Mijoz kerak keng qamrovli yechim Bilan:

bitta telefon kanali;

boshqariladigan Internet-trafik;

filiallarning kompyuterlari va serverlarini avtomatlashtirilgan boshqarish va masofaviy texnik qo‘llab-quvvatlash imkoniyati;

masofaviy xodimlar uchun korporativ ma'lumotlarga bepul kirish.

Shu bilan birga, uni ta'minlash kerak yuqori daraja bu barcha axborot oqimlarining xavfsizligi.

Bugungi kunda mijoz mahalliy tarmoqlarni birlashtirish xizmatini talab qiladi kalit“- pudratchi ishning har bir bosqichini mustaqil ravishda, buyurtmachining minimal ishtirokida bajarishi kerak. Natijada, mijoz taqdim etishi kerak markazlashtirilgan tizim barcha kerakli IT komponentlari va nazorat va qo'llab-quvvatlash vositalari bilan filialni boshqarish. Biz oddiy VPN haqida gapirmayapmiz - biz masofaviy ofislarning "jismoniy" darajaga virtual ulanishi haqida gapiramiz.

Shu bilan birga, shuni unutmasligimiz kerakki, ikki yoki undan ortiq mahalliy tarmoqlarni birlashtirish loyihasi iqtisodiy bo'lishi kerak, aks holda uning butun ijobiy natijasi foydasiz bo'ladi.

Agar siz filiallar va olis ofislarni xuddi shunday birlashtirishni amalga oshirishingiz yoki uning tarkibiy qismlaridan birini (yagona telefon tarmog'i, muvozanatli Internet-trafik) amalga oshirishingiz kerak bo'lsa, biz hamkorlikka ochiqmiz. Bozorda katta tajriba va yuqori malakaga ega bo'lish raqamli texnologiyalar, biz sizga biznesingizning o'ziga xos ehtiyojlariga moslashtirilgan eng samarali va tejamkor variantni taklif qilishga tayyormiz.

Tarmoqlarni birlashtiruvchi qurilmalar

Bizning ZSC mutaxassislarimiz har qanday ishlab chiqaruvchining uskunalari bilan ishlaydi. Agar sizda o'zingizning marshrutizatorlaringiz bo'lsa, biz ularni masofaviy ofislarning mahalliy tarmoqlarini birlashtirish uchun sozlaymiz.

Mikrotik tarmoqlarini birlashtirish

Bizning amaliyotimizda biz Mikrotik (ko'proq iqtisodiy va ommabop yechim) va Cisco (qimmatroq va funktsional yechim) ning professional uskunalaridan foydalanamiz.

Misol tariqasida Mikrotik uskunasidan foydalanib, biz mahalliy tarmoqlarni ulash texnologiyalarini tahlil qilamiz. Analoglarga nisbatan bozor narxi ancha past bo'lishiga qaramay, Mikrotik dasturiy platformasi moslashuvchan, xavfsiz va funktsional axborot almashish kanallarini o'rnatish imkonini beradi. Ushbu ishlab chiqaruvchining uskunalari bizning ko'plab loyihalarimizda o'zini isbotladi idoralar mijozlar. Bundan tashqari, Mikrotik sizning byudjetingizni jiddiy ravishda tejash imkonini beradi.

Mikrotik marshrutizatorlari ma'lumotni xavfsiz yuborish uchun ettitagacha protokollarni qo'llab-quvvatlaydi, ular ikkinchi IP sarlavhasi bilan alohida paketlar shaklida shifrlangan. Ushbu sarlavha qabul qiluvchining IP manzilini va jo'natuvchining IP manzilini o'z ichiga oladi. Ma'lumotni ushlab qolishga urinayotganda, firibgar faqat ushbu ma'lumotni ko'radi va manba kompyuter va qabul qiluvchi kompyuterni aniqlash mumkin emas. Ma'lumot sizib chiqqan taqdirda, kodni ochish uchun juda ko'p vaqt kerak bo'ladi va uning ishlashi hali haqiqat emas. Xavfsiz ma'lumotlarni uzatishning boshqa variantlari ham qo'llaniladi.

Xavfsizlik protokollari:

batafsil ma'lumot

PPTP (nuqtadan nuqtaga tunnel protokoli) - ochiq tarmoqlar orqali ajratilgan tarmoqlarni qurish uchun ishlatiladi. Unda yuqori unumdorlik, turli shifrlash imkoniyatlari va turli dasturiy platformalardan foydalanish imkoniyati mavjud.

L2TP - PPTP dan farqli o'laroq, xatolarga chidamliligi yuqori va ishonchli xavfsizlikka ega. U ochiq tarmoqlar ichida yopiq tarmoqlarni qurish uchun ham, uzoq qurilmalardan korporativ tarmoqqa kirish uchun ham, shuningdek turli xil ulanish sxemalaridan foydalanish uchun ishlatiladi.

IP2IP - ma'lumotni paketlarga shifrlaydi va uni oluvchiga ishonchli uzatish uchun alohida IP belgilaydi. Internet orqali marshrutizatorlar o'rtasida tunnel qurish uchun foydalaniladi.

PPPOE - PPTP protokoliga o'xshash ishlaydi, lekin oddiyroq va kamroq resurslarni talab qiladigan yechim.

IPSec - yopiq tunnel qurish uchun eng ishonchli variantlardan biri. Bundan tashqari, ma'lumotlar shifrlangan va uni o'qish uchun alohida kalitlardan foydalanish kerak. Bu ma'lumotlarni uzatishning yuqori, ikki darajali himoyasini ta'minlaydi.

VLAN - mantiqiy yuqori tezlikdagi xavfsiz tunnellarni yaratishni ta'minlaydi, ular xavfsizlik nuqtai nazaridan ma'lumotni "jismoniy" uzatishga yaqin, masalan, ofis ichida kabellar orqali.

EoIP - yaratilgan virtual kanallar orqali masofaviy ofislar va filiallarning shaffof birlashmasini tashkil qiladi. Internet-trafikni, individual xavfsizlik siyosatini moslashuvchan tarzda sozlash, masofaviy filiallar uchun muvozanat va sozlashlarni amalga oshirish imkonini beradi. EoIP-dan foydalanish uchun sizga juda keng tarmoqli kengligi kerak, chunki protokol boshqaruv uchun trafikning 15% gacha oladi.

Turli xil xavfsizlik protokollarining kombinatsiyasi moslashuvchan, xavfsiz va ishonchli ma'lumot almashish kanallarini yaratish va muayyan biznes ehtiyojlarini qondirish imkonini beradi. Agar maksimal xavfsizlik talab etilsa, IPSec protokoli mos keladi va agar shifrlangan ma'lumotlarni uzatish uchun oddiyroq kanal kerak bo'lsa - PPTP, L2TP yoki IP2IP. Filiallar va ofislar o'rtasida shaffof va boshqariladigan axborot logistikasini tashkil qilish uchun VLAN va EoIP tanlov bo'lishi mumkin.

Ikki yoki undan ortiq mahalliy tarmoqlarni birlashtirish narxi

Barcha loyihalarga taalluqli bo'lgan ikki yoki undan ortiq mahalliy tarmoqlarni birlashtirish uchun yagona raqamli narxlar bilan yagona narxlar ro'yxatini taqdim etish mumkin emas. Yakuniy hisob-kitobda ko'p narsa belgilangan vazifalarga, biznes ehtiyojlariga, ish hajmiga, Ethernet rozetkalari soniga, kabel tasvirlari va boshqalarga bog'liq.

Biroq, muayyan ish turlariga taalluqli bir nechta asosiy ko'rsatkichlar mavjud:

Ish turi	Birliklar	Narxi, rub.)*
Kabel kanalini o'rnatish	m.	120
Guruh o'rnatilishini hisobga olgan holda UTP kabelini o'rnatish (mushuk 5 e).	m.	44,48
Mahkamlashni hisobga olgan holda gofrirovka o'rnatish	m.
RJ-45 rozetkasini o'rnatish	Kompyuter.	200
Belgilanganlarni hisobga olgan holda simi markalash materiallar	Kompyuter.
CCTV kameralarini, Wi-Fi nuqtalarini va boshqalarni o'rnatish.	Kompyuter.	1500
Kontakt uchun liniyani sinab ko'rish (“uzluksizlik”)	Kompyuter.
Strukturaviy tizimni loyihalash ishlari	kv. m.
Tarmoq uskunalarini o'rnatish	Kompyuter.	400

16.02.2017 holatiga koʻra joriy (QQSsiz)

Mutaxassislarimiz va dizaynerlarimiz biznesning muayyan ehtiyojlariga moslashtirilgan har qanday murakkablik va miqyosdagi ikki yoki undan ortiq mahalliy tarmoqlarni ulash loyihasini yaratishi, uni mijoz bilan muvofiqlashtirishi va kalit taslim asosida amalga oshirishi mumkin.

Uyushma kompyuter tarmoqlari- Biz qanday ishlaymiz:

biz kompaniyangizda ishlaydigan dastlabki ma'lumotlar, sozlamalar va xavfsizlik siyosatlarini olamiz;
biz ularni marshrutizator sozlamalari bilan birlashtiramiz, uskunani sizning talablaringizga muvofiq sozlaymiz;
biz konfiguratsiya qilingan routerni masofaviy filialga (ofis) yuboramiz va uni ulaymiz;
amalga oshirish ishga tushirish ;
Biz sizga ikki yoki undan ortiq mahalliy tarmoqlarni birlashtirgan tayyor yechimni taqdim etamiz.

Siz uchun - hamma narsa oddiy! Biz tomonda esa katta tajriba, yuqori malaka va o'nlab tugallangan loyihalarimiz bor. Va bularning barchasi bizga sifatni yo'qotmasdan tez, samarali va jiddiy byudjetni tejash imkonini beradi.

Va agar siz Premium tarifining keng qamrovli obuna xizmati mijozimiz bo'lsangiz, unda bu xizmat sizga bepul taqdim etiladi (siz faqat jihozlar uchun to'laysiz)!

Keling, "Ikki yoki undan ortiq mahalliy tarmoqlarni birlashtirish" kompleks yechimining alohida komponentlarini batafsil ko'rib chiqaylik.

Masofaviy ofislar o'rtasida telefon aloqasi

Vazifa: masofaviy filiallardagi abonentlar uchun “qisqa” raqamlarga ega yagona telefon tarmog‘ini yaratish, qo‘ng‘iroqlar xarajatlarini tejash va telefon liniyalaridan foydalanish ustidan nazoratni ta’minlash, mobil aloqa xodimlarini telefon tarmog‘iga ulash, yagona raqamni joriy etish.

Biz birlashganda umumiy tarmoq Ethernet markaziy va olis ofislar bilan biz yagona axborot makonini shakllantirdik. Ushbu bo'shliqda siz har qanday ma'lumotlarni uzatishingiz mumkin: fayllar, video kontent, ovozli tarkib va boshqa ma'lumotlar. Kompaniya ichida uzatiladigan ma'lumotlarning eng keng tarqalgan segmenti server ma'lumotlari; mashhurlik bo'yicha ikkinchi o'rinda - ovoz Va video mazmuni.

Yagona mahalliy tarmoq sizga uskunani shunday sozlash imkonini beradiki, ular bir-biridan minglab kilometrlarga ajratilishi mumkin bo'lgan xodimlar bir ofisda joylashgan bo'lishi mumkin.

Statsionar xodimlar

Filiallar va "markaz" o'rtasida yagona telefon tarmog'ini qurish uchun sizga markaziy ofisda o'rnatilgan shaxsiy raqamli ofis PBX kerak. Filiallarda esa IP-telefonlar ulangan, ular uchun IP-manzillar xuddi bitta ofis tarmog'i kabi sozlangan. PBX va masofaviy telefon bir-birini aniqlaydi, shundan so'ng biz masofaviy ofis uchun "qisqa" raqamni tayinlaymiz. Hamma narsa xuddi markaziy ofisga yangi xodimni qo'shgandek sodir bo'ladi.

Natijada, sizning xodimlaringiz bir-biridan qanchalik uzoqda bo'lishidan qat'i nazar, bitta makonda ishlay boshlaydi. PBXga kiruvchi qo'ng'iroq kelganda, telefon stantsiyasi sizni bir tarmoqda ekanligingizni "o'ylaydi" va qo'ng'iroqni boshqa shaharda yoki hatto mamlakatda eshitadi. Shu bilan birga, ma'lumotlar uzatishning yuqori darajasi ta'minlanadi - aloqa xavfsiz shifrlangan tunnellar orqali amalga oshiriladi.

Mobil xodimlar

Mobil xodimlar ham kompaniyaning yagona telefon tarmog'iga ulanishi mumkin. Buning uchun ular tunnelni qo'llab-quvvatlaydigan telefonlardan foydalanishlari kerak. Smartfon ichida shifrlangan tunnel tuzilgan bo'lib, u telefon ulanganda "ko'tariladi" Wi-Fi tarmoqlari va ofisingizdagi markaziy ATS tomonidan belgilangan sozlamalar orqali ruxsat etiladi.

Natijada, sizning mobil xodimingiz korporativ telefon tarmog'ining bir qismi bo'lib, tezkor almashtirish uchun "qisqa" raqamga ega bo'lishi va markaziy PBXda sozlangan qo'ng'iroqlarni amalga oshirish va qabul qilish uchun qulay tariflardan foydalanishi mumkin.

Filiallar o'rtasida yagona telefoniyaning afzalliklari:

ichki qo'ng'iroqlarni yo'naltirishning moslashuvchan konfiguratsiyasi;
bir nechta operator va tariflardan foydalanish imkoniyati;
keyinchalik filial raqamlariga yo'naltirish bilan bitta telefon raqamidan foydalanish imkoniyati;
telefon xarajatlarini sezilarli darajada tejash;
kirish va chiquvchi qo'ng'iroqlarni markazlashtirish va nazorat qilish.

Masofaviy filiallar orasidagi telefon tarmog'ining ushbu va boshqa ko'plab afzalliklari orasida ushbu xizmatni bugungi kunda talab darajasida qilgan ikkita asosiy narsa bor: birinchi- ko'p kanalli raqamlardan foydalanish; Va, ikkinchi- telefon xarajatlarini tejash.

Ko'p kanalli aloqa tufayli qo'ng'iroqlar masofaviy ofislar o'rtasida qulay tarzda taqsimlanadi. Mijoz bitta raqamga qo'ng'iroq qilishi va ma'lum bir mintaqa, shahar, ofis yoki bo'limga ulanishi uchun oddiygina ovozli menyuni o'rnatish kifoya.

Xarajatlarni tejash markaziy joyda bitta ATSga ulangan bir nechta operatorlar o'rtasida mantiqiy marshrutlash orqali ta'minlanadi. idora. Ya'ni, butun filiallar tarmog'i uchun telefon xarajatlarini kamaytirish uchun bosh ofisda telefon stantsiyasini bir marta to'g'ri tashkil etish, unga bir nechta operatorlarni ulash kifoya. Masalan, Rossiyadagi barcha qo'ng'iroqlar bitta IP telefoniya operatori orqali amalga oshiriladi. Moskva ichidagi analog qo'ng'iroqlar cheksiz shahar liniyalari orqali, shaharlararo qo'ng'iroqlar esa uchinchi SIP telefoniya operatori orqali o'tadi. Va shuning uchun - hamma uchun alohida tur aloqa: Rossiya bo'ylab, mintaqa, shahar, shaharlararo va xalqaro qo'ng'iroqlar, statsionar va mobil telefonlardan kiruvchi / chiquvchi qo'ng'iroqlar.

Bizning mijozlarimiz murakkab konfiguratsiyalarda 2 dan 5 tagacha aloqa operatorlariga ega bo'lib, bu mablag'lardan eng maqbul foydalanishni ta'minlaydi. O'nlab ofislarga haqiqatda xizmat ko'rsatish va telefon trafigidan savodsiz foydalanish uchun o'n minglab rubllarni behuda sarflamaslik uchun ular faqat bitta markaziy uskunaning to'g'ri ishlashini nazorat qilishlari kerak.

Ushbu xizmat haqida ko'proq ma'lumotni "Office PBX" bo'limida olishingiz mumkin. Bu yerda siz kompaniyaning markaziy ATSdan foydalangan holda qancha tejashini aniq bilib olasiz.

Internet tarmog'i

Vazifa: uzoq ofis yoki filialda barqaror, uzluksiz Internet-trafikni ta'minlash

Agar kompaniyaning boshqa shaharda kichik filiali bo'lsa, uning samarali ishlashi doimiy va barqaror Internetga bog'liq bo'ladi va barcha biznes jarayonlar aloqa uzilishi bilanoq to'xtaydi, Internet kanallarini zahiraga qo'yish kerak.

Murojaat qilinmoqda zamonaviy uskunalar MikroTik va Cisco-dan biz mijozning biznes-jarayonlari to'xtamasligini va masofaviy filiallar doimiy ravishda barqaror Internetni olishini ta'minlay olamiz.

Masofaviy ofislarning Internet-kanallarini muvozanatlash - bu nima?

Ushbu vazifani bajarish uchun biz asosiy va zaxira Internet provayderlarining kanallarini sozlaymiz. Bunday holda, zaxira er usti qo'shimcha kanal yoki yanada tejamkor kanal bo'lishi mumkin uyali aloqa operatorlari(Beeline, MTS, Megafon, Yota, Tele2).

Asosiy, odatda kuchliroq kanal ishlamay qolsa, zaxira kanaliga avtomatik o'tish sodir bo'ladi. Bunday kalit bilan jihoz qayta avtorizatsiya qilinadi va xavfsiz shifrlangan ma'lumotlarni uzatish uchun zaxira kanalida tunnel ko'tariladi. Avvalo uskunani avtorizatsiya qilish kerak, shunda ularning mavjudligiga qarab ikkita Internet-kanal o'rtasida muvozanatni saqlash mumkin bo'ladi.

Yakuniy foydalanuvchi uchun hech qanday o'zgarishlar bo'lmaydi - u shunchaki zaxira kanali orqali vaqtincha ta'minlanadigan Internetdan foydalanishni davom ettiradi. Va bizniki avtomatlashtirilgan tizim monitoring ushbu ma'lumotlarni oladi, mutaxassislar ma'lumotni ko'radi va muammoni hal qilish uchun asosiy kanal provayderiga so'rov yuboradi.

Biz mijozlarni zaxira kanalida tejashga chaqiramiz, chunki undan foydalanish narxi (mintaqaga qarab 1 ming rublgacha) yagona Internet-kanaldagi uzilishlar tufayli mumkin bo'lgan biznes yo'qotishlaridan sezilarli darajada past bo'ladi.

Masofaviy ofislarning Internet-kanallarini muvozanatlashning yanada murakkab sxemalari ham mavjud. Masalan, Cisco GRE tunnellarini ishlab chiqdi va amalga oshirdi. Ular odatiy tunnellardir, lekin GRE sarlavhasi standart IP paketining "tepasida" joylashtirilgan. Bunday tunnellar tarmoq ichida domen avtorizatsiyasini amalga oshirish imkonini beradi.

Internet-kanalni muvozanatlash varianti mijozning o'ziga xos ehtiyojlariga bog'liq.

Masofaviy ofislar o'rtasidagi mahalliy tarmoqlar boshqa integratsiya variantlari uchun ishlatilishi mumkin, masalan, video konferentsiya, umumiy siyosat xavfsizlik va boshqalar.

Biz, o‘z navbatida, mijozning filial tarmog‘ini shunday birlashtirishni ta’minlay olamizki, uning IT infratuzilmasi nosozliklarsiz ishlashi, biznes jarayonlari to‘xtab qolmasligi uchun – biz sizga barcha komponentlarning misli ko‘rilmagan nosozliklarga chidamliligini ta’minlashga tayyormiz.

Eng so'nggi maqolalar

2023-03-06 13:22:30
Rejani bajarish ixtiyoriy faoliyatdir
2023-03-06 13:22:30
Mehnatni standartlashtirish tushunchasi va maqsadi Standartlashtirilgan vaqt
2023-03-06 13:22:30
Menejment qachon va qanday paydo bo'lgan?Menejment qachon paydo bo'lgan?

Mashhur maqolalar

Muharrir tanlovi

2023-03-06 13:22:30

Mehnat jarayoni, uning turlari
Mavzu 4. Mehnat jarayoni. Mehnat usuli. "Mehnat jarayoni" tushunchasi "mehnat" tushunchasi bilan chambarchas bog'liq. Ko'pincha ular farqlanmaydi: mehnat jarayon sifatida ...
2023-03-06 13:22:30

Xodimlarni baholash mezonlari
Nomzodlarni baholash Faoliyat tahlili (3-ilovaga qarang) quyidagi savollarga javob berishi kerak: xodimga qancha vaqt kerak...
2023-03-06 13:22:30

Sweet Life MChJ misolida yangi mahsulotni ishlab chiqish
Zamonaviy dunyoda, doimiy o'zgaruvchan talablar, talablar va jiddiy raqobat sharoitida siz mavjud mahsulotlarga tayanolmaysiz. Kompaniyalar...
2023-03-06 13:22:30

Aylanma aktivlar va qisqa muddatli majburiyatlarni kompleks operativ boshqarish siyosatini tanlash
Kompaniya oldida turgan asosiy vazifalardan biri bu ularning samaradorligini oshirish maqsadida aylanma mablag'larni boshqarish siyosatini tanlashdir...
2023-03-06 13:22:30

Monopoliyaga qarshi qonun hujjatlarining asosiy qoidalari Monopoliyaga qarshi qonun hujjatlariga zid harakatlar
Federal Monopoliyaga qarshi Xizmat Prezidiumi “Monopoliyaga qarshi huquqbuzarliklar natijasida etkazilgan zarar miqdorini aniqlash toʻgʻrisida”gi tushuntirishni tasdiqladi.