Két vagy több helyi hálózat kombinálása. Hálózati konszolidáció A fiókok közötti egységes telefonálás előnyei

A helyi irodahálózatok összekapcsolásának fő célja, hogy átlátható hozzáférést biztosítson a szervezet földrajzilag elosztott információforrásaihoz. Az irodai hálózatok konszolidációja lehetővé teszi a következő leggyakoribb feladatok megoldását:

  • az irodai automata telefonközpont egységes számozási kapacitását használja;
  • engedélyt ad a felhasználóknak az erőforrásokhoz (megosztott mappák, intranetes webhely, e-mail stb.) való hozzáféréshez, függetlenül az aktuális tartózkodási helyüktől;
  • biztosítson biztonságos hozzáférést a szervezet alkalmazottai számára a különböző irodákban található erőforrásokhoz (például biztosítsa az alkalmazottak munkáját az egyik irodába telepített 1C vállalati szerverrel);
  • távoli számítógépen végzett munkavégzés terminál-hozzáféréssel (távirányító asztalról);
  • a szolgáltatás hatékonyságának és válaszkészségének növelése technikai támogatás a számítógépek, szerverek és egyéb berendezések távvezérlésének lehetősége, valamint a segítségnyújtás beépített Windows eszközeinek hatékony alkalmazása miatt - Remote Assistant.

Az irodai hálózatok aggregálásának megvalósítási módszerei

Az irodák és a távoli fióktelepek helyi hálózatainak egyesítése érdekében a virtuális magánhálózatok technológiáját - VPN (Virtual Private Network) használják. Ezt a technológiát a számítógépes hálózatokon továbbított adatok kriptográfiai védelmére tervezték. A virtuális magánhálózat több VPN-átjáró közötti hálózati kapcsolatok gyűjteménye, amelyek titkosítják a hálózati forgalmat. A VPN-átjárókat kriptográfiai átjáróknak vagy titkosítási átjáróknak is nevezik.

Két módszer létezik egy szervezet egyetlen biztonságos vállalati hálózatának felépítésére:

  1. az internetszolgáltató berendezésének és megfelelő szolgáltatásainak használata;
  2. a központi irodában és a fióktelepeken található saját berendezések használatával.

VPN és az internetszolgáltató által biztosított szolgáltatások

Ez a megoldás akkor alkalmazható, ha a központi iroda és a fióktelepek ugyanazon az internetszolgáltatón keresztül csatlakoznak az internethez. Ha a cég fióktelepei szétszórtan találhatók a városokban, sőt, különböző országokban is, akkor nem valószínű, hogy lesz olyan szolgáltató, aki megfelelő szintű szolgáltatást tud nyújtani Önnek, méghozzá ésszerű pénzért.

Ha irodái ugyanabban a városban vannak, kérdezze meg internetszolgáltatóját, hogy tudja-e egyetlen hálózatba csatlakoztatni az irodai LAN-okat. Talán ez a megoldás lesz az Ön számára optimális a költségek szempontjából.

Iroda- és fiókhálózatok önálló konszolidálása

A két hálózat VPN-technológiával történő kombinálásának módszerét az angol nyelvű szakirodalom "Peer-to-Peer VPN" vagy "site-to-site VPN"-nek nevezi. A két hálózat között „átlátszó titkosítási” mód jön létre. Az IPSec a leggyakrabban használt protokoll az IP-hálózatok forgalom titkosításához és továbbításához.

A VPN-kapcsolatok (VPN-alagutak) megszervezéséhez a kisvállalatok központi irodája és fiókjai között javasoljuk a hardveres internetes átjárók (tűzfalak) használatát beépített VPN-támogatással. Ilyen átjárók például a ZyXEL ZyWALL , a Netgear Firewall , a Check Point [e-mail védett] stb. Ez a termékosztály olyan kis cégek számára készült, amelyek átlagosan 5-100 főt foglalkoztatnak. Ezek az eszközök könnyen beállíthatók, nagy megbízhatósággal és megfelelő teljesítménnyel rendelkeznek.

Egy szervezet székhelyén gyakran telepítenek szoftverbe integrált hálózati biztonsági megoldásokat, mint például a "Microsoft Internet Security and Acceleration Server 2006" (Microsoft ISA 2006), a CheckPoint Express, a CheckPoint VPN-1 Edge és mások. Ezeknek a védelmeknek a kezelése magasan képzett személyzetet igényel, amely általában vagy a központi irodában elérhető, vagy kölcsönözhető az outsourcing cégtől.

Függetlenül a használt berendezésektől, a távoli irodák helyi hálózatainak egyetlen hálózatba történő biztonságos kombinálására szolgáló Peer-to-Peer VPN felépítésének általános sémája a következő:

Azt is meg kell jegyezni, hogy léteznek speciális hardveres titkosítási átjárók, mint például a Cisco VPN Concentrator, a "Continent-K" stb. Hatókörük közepes és nagy cégek ahol szükséges a nagy teljesítmény biztosítása a hálózati forgalom titkosítása során, valamint az akadálymentesítés. Például biztosítson adattitkosítást a GOST ("Continent-K") szerint.

Mire kell figyelni a felszerelés kiválasztásakor

A virtuális magánhálózat (VPN) szervezéséhez szükséges berendezés kiválasztásakor figyelnie kell a következő tulajdonságokra:

  1. az egyidejűleg támogatott vpn alagutak száma;
  2. teljesítmény;
  3. a vpn-alagúton belüli hálózati forgalom szűrésének képessége (ez a funkció nem minden internetes átjáróban van megvalósítva);
  4. a QoS minőségellenőrzés támogatása (nagyon hasznos hangforgalom hálózatok közötti átvitelénél);
  5. kompatibilitás a meglévő berendezésekkel és alkalmazott technológiákkal.

Hardveres megoldások

Az olcsó hardveres internetes átjárókra épülő megoldások előnyei

  • Alacsony költségű;
  • Nagy megbízhatóság (nincs szükség biztonsági mentésre, ha a tápellátás ki van kapcsolva, semmi sem romlik el);
  • Könnyű adminisztráció;
  • Alacsony energia fogyasztás;
  • Kis helyet foglal, bárhová felszerelhető;
  • a VPN felépítéséhez választott platformtól függően lehetőség van további szolgáltatások telepítésére a vpn átjáróra: az internetes forgalom vírusellenőrzése, támadások és behatolások észlelése stb., ami jelentősen növeli a hálózati biztonság általános szintjét és csökkenti egy átfogó hálózatvédelmi megoldás teljes költsége .

Hibák

  • A megoldás nem skálázható, a teljesítménynövekedés teljes berendezéscserével érhető el;
  • Kevésbé rugalmas a beállításokban;
  • A Microsoft Active Directory (vagy LDAP) integrációja általában nem támogatott.

Szoftver megoldások

A szoftveres megoldások előnyei

  • Rugalmasság;
  • Skálázhatóság, azaz a termelékenység szükség szerinti növelésének képessége;
  • Szoros integráció a Microsoft Active Directoryval (Microsoft ISA 2006, CheckPoint)

Hibák

  • Magas ár;
  • Az adminisztráció összetettsége.

Hol kezdjem

Mielőtt elkezdené a hardver és a szoftver (a továbbiakban: szoftver) kiválasztását a helyi irodai hálózatok VPN-en keresztüli egyetlen hálózattá egyesítésére irányuló projekt megvalósításához, rendelkeznie kell a következő információkkal:

  1. Határozza meg a topológiát:
    • Meshed (teljesen csatlakoztatva) - minden webhely automatikusan titkosított kapcsolatot szervezhet bármely másik oldallal;
    • Csillag (csillag) - az ágak biztonságos kapcsolatot létesíthetnek a központi hellyel;
    • Hub és Spoke (csatlakozás a hubon keresztül) - az ágak a központi hely hubján keresztül csatlakoztathatók egymáshoz;
    • Távoli hozzáférés (távelérés) – a felhasználók és csoportok biztonságos kapcsolatokat szervezhetnek egy vagy több webhelyhez;
    • A fenti módszerek kombinációi (például egy csillag hálóközéppontú topológiával - egy csillag teljesen hálós középponttal -, amelyben a távoli ágak információt cserélhetnek a központi VPN minden tagjával, amely teljesen hálós topológiájú).
  2. fiókok száma (hány egyidejű VPN-kapcsolatot kell támogatnia a központi iroda berendezésének);
  3. Felhasználók száma a központi irodában és az egyes fiókokban;
  4. Milyen berendezéseket és/vagy szoftvereket használnak az egyes ágazatokban (az adatok a meglévő berendezések és/vagy szoftverek felhasználási lehetőségeinek figyelembevételéhez szükségesek);
  5. Adatok a fióktelepek internetre történő csatlakoztatásáról: IP-cím hozzárendelés - dinamikus vagy statikus, kommunikációs csatorna sebessége;
  6. Mi a menedzsment megközelítése információ biztonság(hálózati kerületvédelem, vírusirtó biztonság) kerül alkalmazásra: a székhely és a fiókok központosított kezelése egy biztonsági adminisztrátor (rendszergazda) által, vagy minden fióknak saját rendszergazdája van.

A központi irodahálózatba való behatolás veszélyének minimalizálása érdekében kellő figyelmet kell fordítani a szervezet fiókjainak hálózatainak védelmére. A VPN használata nem garantál megbízható behatolásvédelmet, kivéve, ha a fiókhálózatok is megfelelően védettek. Ha egy támadó jogosulatlanul hozzáférhet a fiókhálózathoz, akkor hozzá is férhet tájékoztatási rendszer központi iroda, mivel a központi iroda és a fióktelep hálózata VPN-en keresztül egyetlen hálózatba egyesül.

Számos, több fiókkal rendelkező szervezetben szükség van a helyi irodahálózatok egyetlen vállalati hálózatba való egyesítésére. Hálózatok összekapcsolása növeli az üzleti hatékonyságot és csökkenti az irodák távoli elhelyezkedésével kapcsolatos költségeket. Hálózatépítés a cég távoli irodái lehetővé teszik az alábbi feladatok megoldását:

  • Az összes iroda alkalmazottainak munkája egyetlen adatbázisban (például 1C)
  • Távoli alkalmazottak hozzáférésének biztosítása a vállalat megosztott vállalati erőforrásaihoz az interneten keresztül (távoli hálózati hozzáférés)
  • Gyors és kényelmes adatcsere a távoli irodák dolgozói között

Hálózatok összekapcsolása nyilvános internetes hálózatokon keresztül valósul meg, erre tekintettel a hálózati aggregáció biztonságának és a továbbított információk titkosságának kérdése akut. A VPN technológia (virtuális magánhálózatok) két hálózat biztonságos és biztonságos összekapcsolására szolgál nyilvános kommunikációs csatornákon keresztül.

VPN (virtuális magánhálózatok) beállítása

VPN beállítása A vállalati irodák közötti virtuális magánhálózatok (hálózatok összekapcsolása) biztosítják a továbbított adatok titkosítását. A megrendelő igényeitől és a meglévő informatikai infrastruktúrától függően egy szoftver- vagy hardverkomplexum alapján is kialakítható VPN hálózat. A VPN hálózat létrehozásának meglehetősen elterjedt módja egy szoftvercsomagon alapuló VPN konfigurálása, amely a VPN hálózat megvalósítása mellett tűzfalként és a hálózati forgalom szűrésére is szolgálhat.

Távoli hozzáférés a számítógéphez

Tegyük fel, hogy van 2 irodánk a város különböző részein, vagy különböző városokban vagy országokban, és mindegyik elég jó csatornán csatlakozik az internethez. Egyetlen helyi hálózatba kell kapcsolnunk őket. Ebben az esetben egyik felhasználó sem fogja kitalálni, hol található ez vagy az a számítógép vagy nyomtató a helyi hálózaton, hanem nyomtatókat, megosztott mappákat és a fizikai hálózat minden előnyét használják. Az OpenVPN-en keresztül csatlakoztatott távoli alkalmazottak is dolgozhatnak majd a hálózaton, mintha számítógépeik az egyik iroda fizikai hálózatában lennének.

A Debian Squeeze operációs rendszeren fogunk konfigurálni, de az utasítások teljes mértékben érvényesek minden Debian-alapú disztribúcióra, és a híd és az OpenVPN telepítési és konfigurációs parancsainak kisebb módosításaival bármely Linux vagy FreeBSD disztribúcióra érvényesek lesznek.

Tételezzük fel, hogy egy Debian vagy Ubuntu disztribúció a következő utasítások valamelyikével van telepítve: .

Az OpenVPN-alapú VPN-hálózat telepítése és konfigurálása híd segítségével tap0

Hálózati hidat hozunk létre a fizikai hálózat között eth1és virtuális felület tap0

Telepítse a szükséges programokat a csomagkezelő kérésének elfogadásával:

A szerverhálózatot az alapján állítjuk be, hogy 2 hálózati kártyánk van: hálózat eth0 eth1 br0

A konfigurációs fájl szerkesztése /etc/network/interfaces:

Auto lo iface lo inet loopback # internetszolgáltató auto eth0 iface eth0 inet statikus cím 192.168.50.2 netmaszk 255.255.255.0 átjáró 192.168.50.1 # helyi hálózat auto eth1 iface eth1 inet statikus cím iface eth1 inet statikus cím

Auto lo iface lo inet loopback # Regisztrálja a hidat, tartalmazza a tap0 VPN interfészt és az eth1 hálózati kártyát auto br0 iface br0 inet static # Add hozzá az openvpn interfészt bridge_ports eth1 tap0 cím 10.10.10.1 netmask 255.255.255.0 # Internet auto eth0 eth0 inet statikus cím 192.168.50.2 hálózati maszk 255.255.255.0 átjáró 192.168.50.1

Ezt követően az ifconfig parancs végrehajtásakor egy hídnak kell megjelennie br0 IP 10.10.10.1, interfész eth0 192.168.50.2 IP-címmel és interfésszel eth1 IP-cím nélkül, mint a hídban br0

Az OPENVPN beállítása:
Az openvpn szerverünk konfigurálásához szükséges szkripteket a következő paranccsal másoljuk:

Cp -Rp /usr/share/doc/openvpn/examples/easy-rsa/2.0/ /etc/openvpn/easy-rsa

Módosítások végrehajtása egy fájlban /etc/openvpn/easy-rsa/vars globális változók definiálásához és kevesebb adat begépeléséhez kulcsok létrehozásakor:

Vi /etc/openvpn/easy-rsa/vars

export KEY_COUNTRY="US" export KEY_PROVINCE="CA" export KEY_CITY="SanFrancisco" export KEY_ORG="Fort-Funston" export KEY_EMAIL=" "

Exportálás KEY_COUNTRY="UA" export KEY_PROVINCE="11" export KEY_CITY="Kiev" export KEY_ORG="NameFirm" export KEY_EMAIL=" "

Lépjen a tanúsítványok és kulcsok létrehozásához szükséges szkripteket tartalmazó mappába a következő paranccsal:

CD /etc/openvpn/easy-rsa/

A PKI-t (Public Key Infrastructure) inicializáljuk a következő parancsokkal:

. ./vars ./clean-all

Figyelem. A parancs végrehajtásakor ./clean-all A szerver és a kliensek összes meglévő tanúsítványa és kulcsa törlődik, ezért ne futtassa az éles kiszolgálón, vagy tegye ezt a mappa mentése után /etc/openvpn/ az archívumba a következő paranccsal:

Tar cf - /etc/openvpn/ | gzip -c -9 > /home/openvpn_backup.tgz

A tanúsítvány hatósági (CA) tanúsítványát és kulcsát a következő paranccsal állítjuk elő:

./build-ca

A legtöbb paraméter a vars fájlból lesz leolvasva. Csak a Name paramétert kell kifejezetten megadni:

Név: vpn

Általánosságban elmondható, hogy minden mezőt szükség szerint bármikor kitölthet.

A Diffie - Hellman paramétereket a következő paranccsal állítjuk elő:

./build-dh

Tanúsítványt és privát kulcsot generálunk a szerver számára, nem írunk be semmit a jelszókérésbe, és amikor a rendszer kéri Aláírja a tanúsítványt?: belép yés nyomja meg Belép parancs futtatásával:

./build-key-server

Alapértelmezés szerint minden paraméter elfogadott. Kérésre gyakori név belép szerver

Közös név (pl. az Ön neve vagy a szerver gazdagépneve): szerver

Kérdések Aláírja a tanúsítványt?és 1-ből 1 tanúsítványigénylés hitelesített, elkötelezi magát? pozitívan válaszolunk:

Aláírja a tanúsítványt? :y 1-ből 1 tanúsítványigénylés hitelesítve, elkötelezi magát? y

Marad a tanúsítványok és kulcsok létrehozása az ügyfelek számára. Először inicializáljuk a paramétereket:

CD /etc/openvpn/easy-rsa/ . ./vars

Hozzon létre kulcsokat a felhasználó számára szerver1. Például adjon hozzá annyi felhasználót, amennyire szüksége van:

./build-key server1 ./build-key client1 ./build-key client2

Az alapján, hogy van hálózatunk 10.10.10.0/24 azonnal kiosztunk egy címkészletet az irodai számítógépek számára 1 - 10.10.10.40-149 , a 2. irodához címkészletet osztunk ki 10.10.10.150-254 és kiosztani egy címkészletet a távoli alkalmazottak számára 10.10.10.21-39.
Hozzon létre egy mappát /etc/openvpn/ccd/ ahol megadjuk, hogy melyik kliens melyik ip parancsot adja:

Mkdir -p /etc/openvpn/ccd/

Minden ügyfélnek hozzárendeljük a saját IP-jét a hálózaton a következő parancsokkal:

echo "ifconfig-push 10.10.10.150 255.255.255.0" > /etc/openvpn/ccd/server1 echo "ifconfig-push 10.10.10.21 255.10.10.21 255.10.10.255 255.255.255.0" > /etc/openvpn/ccd/client2

Hozzon létre egy szerver konfigurációs fájlt:

Vi /etc/openvpn/server.conf ################################### 1195-ös port proto udp dev tap0 ca easy-rsa/keys/ca.crt cert easy-rsa/keys/server.crt kulcs easy-rsa/keys/server.key # Ezt a fájlt titokban kell tartani dh easy-rsa/keys/dh1024.pem módú szerver tls- szerver démon ifconfig 10.10.10.1 255.255.255.0 client-config-dir /etc/openvpn/ccd keepalive 10 20 kliens-kliens comp-lzo persist-key persist-tun ige 3 log-appendv /var/log/o #script-security 2 # megjegyzés törlése, ha OpenVPN 2.4-es verzión fut felfelé /etc/openvpn/up.sh ########################### # #####

Vi /etc/default/openvpn

OPTARGS=""

OPTARGS="--script-security 2"

Hozzon létre egy szkriptet /etc/openvpn/up.sh akkor indul el, amikor az OpenVPN szerver elindul:

vi /etc/openvpn/up.sh #!/bin/sh brctl addif br0 tap0 brctl addif br0 eth1 ifconfig tap0 0.0.0.0

Adjon engedélyt a szkript végrehajtására /etc/openvpn/up.sh parancs:

Chmod +x /etc/openvpn/up.sh

Ezután indítsa újra az OpenVPN szervert a következő paranccsal:

Hajtsa végre a parancsot ifconfig, a felületnek meg kell jelennie tap0 IP-cím nélkül.

Kulcsokat tartalmazó archívumot gyűjtünk a távoli alkalmazottaknak való terjesztéshez és a 2-es irodába való elküldéshez

Hozzon létre mappákat felhasználónevekkel a következő parancsokkal:

mkdir -p /etc/openvpn/users/server1 mkdir -p /etc/openvpn/users/client1 mkdir -p /etc/openvpn/users/client2

Hozzon létre egy mappát archivált kulcsokkal a következő paranccsal:

Mkdir -p /etc/openvpn/users_tgz

Kulcsokat és tanúsítványokat gyűjtünk a felhasználói mappákból a következő parancsokkal:

cp /etc/openvpn/server/easy-rsa/keys/server1.key /etc/openvpn/users/server1/ cp /etc/openvpn/server/easy-rsa/keys/server1.crt /etc/openvpn/users/ server1/ cp /etc/openvpn/server/easy-rsa/keys/ca.crt /etc/openvpn/users/server1/ cp /etc/openvpn/server/easy-rsa/keys/client1.key /etc/openvpn/ users/client1/ cp /etc/openvpn/server/easy-rsa/keys/client1.crt /etc/openvpn/users/client1/ cp /etc/openvpn/server/easy-rsa/keys/ca.crt /etc/ openvpn/users/client1/cp /etc/openvpn/server/easy-rsa/keys/client2.key /etc/openvpn/users/client2/ cp /etc/openvpn/server/easy-rsa/keys/client2.crt / etc/openvpn/users/client2/cp /etc/openvpn/server/easy-rsa/keys/ca.crt /etc/openvpn/users/client2/

Konfigurációs fájlokat készítünk az alapján szerver1 a távoli irodai szerver 2, és ügyfél1és ügyfél2 ezek távoli alkalmazottak, akik a Windowson kívül csatlakoznak a VPN-hálózathoz.

Az IP-SERVER-VPN helyett az OpenVPN szerver külső IP-címét helyezzük el.

Hozzon létre egy OpenVPN konfigurációs fájlt a szerver1 számára:

echo "távoli IP-SERVER-VPN 1195 kliens dev tap0 proto udp resolv-retry végtelen nobind persist-key persist-tun ca ca.crt cert server1.crt kulcsszerver1.kulcs comp-lzo ige 4 némítás 20 ige 3 log-append / var/log/openvpn.log up /etc/openvpn/up.sh " > /etc/openvpn/users/server1/server1.conf

Archív kulcsok a következőhöz szerver1 parancs:

Tar cf - /etc/openvpn/users/server1 | gzip -c -9 > /etc/openvpn/users_tgz/server1.tgz

ügyfél1:

echo "távoli IP-SERVER-VPN 1195 kliens dev tap0 proto udp resolv-retry infinite nobind persist-key persist-tun ca ca.crt cert client1.crt kulcs kliens1.kulcs comp-lzo ige 4 némítás 20 3. ige" > /etc /openvpn/users/client1/client1.ovpn

A client1 kulcsait a következő paranccsal archiváljuk:

Tar cf - /etc/openvpn/users/client1 | gzip -c -9 > /etc/openvpn/users_tgz/client1.tgz

Hozzon létre egy konfigurációs fájlt ügyfél2 parancs:

echo "távoli IP-SERVER-VPN 1195 kliens dev tap0 proto udp resolv-retry infinite nobind persist-key persist-tun ca ca.crt cert client2.crt kulcs kliens2.kulcs comp-lzo ige 4 némítás 20 3. ige" > /etc /openvpn/users/client1/client2.ovpn

Archív kulcsok a következőhöz ügyfél2 parancs:

Tar cf - /etc/openvpn/users/client2 | gzip -c -9 > /etc/openvpn/users_tgz/client2.tgz

VPN szerver iroda beállítása 2

A fenti utasításokban telepítettük és konfiguráltuk a VPN-kiszolgálót Debian GNU/Linux Az OpenVPN használatával kulcsokat készítettünk tanúsítványokkal a távoli irodai szerver 2 és a távoli alkalmazottak számára. Most egyetlen helyi hálózatba kell csatlakoztatnunk az 1-es irodát a 2-es irodával VPN-en keresztül.

Tegyük fel, hogy az Office 2-ben van egy Linux szerver (gateway) telepítve és konfigurálva, amely elosztja az Internet csatornát az Office 2 alkalmazottai számára. Ennek a szervernek 2 hálózati kártyája van: eth0 - ISP és eth1- helyi hálózat, a híd része lesz, és címkészlete lesz 10.10.10.100-254

Telepítenünk kell a szoftvert a következő paranccsal:

Aptitude install bridge-utils openvpn

A szerverhálózat beállítása

A hálózatot az alapján állítjuk be, hogy 2 hálózati kártyánk van eth0- megkapja az internetet a szolgáltatótól, és ezen keresztül az 1. iroda hozzáfér az Internethez, valamint a hálózathoz eth1- benne van az irodában 1 LAN kapcsoló, az interfésszel ellátott hídban benne lesz br0

Szerkessze az /etc/network/interface konfigurációs fájlt:

Vi /etc/network/interfaces

Auto lo iface lo inet loopback # internetszolgáltató auto eth0 iface eth0 inet static address 192.168.60.2 netmask 255.255.255.0 gateway 192.168.60.1 # local network auto eth0 iface eth0 inet static address iface eth0 inet static address 6mas.5 51.5 1921

Auto lo iface lo inet loopback # Regisztráljuk a hidat, beletesszük a tap0 VPN interfészt és az eth1 hálózati kártyát auto br0 iface br0 inet static # Add hozzá az openvpn interfészt bridge_ports eth1 tap0 cím 10.10.10.150 netmask 255.255.255.0 # Internet auto eth0 iface eth0 inet statikus cím 192.168.60.2 hálózati maszk 255.255.255.0 átjáró 192.168.60.1

Mentse el a változtatásokat, és indítsa újra a hálózatot a következő paranccsal:

/etc/init.d/networking újraindítás

Ezt követően a parancs végrehajtásakor ifconfig kellene egy híd br0 IP-vel 10.10.10.150 , interfész eth0 IP címmel 192.168.60.2 és interfész eth1 nincs IP-cím, mivel a hídban van br0

Office 2 számítógépek esetén IP-címeket adunk ki a számítógépeknek anélkül, hogy túllépnénk 10.10.10.150-254 , ahol 10.10.10.150 az irodai szerver IP-címe 2.

Töltse fel az összegyűjtött OpenVPN kulcsarchívumot az Office 1 VPN-kiszolgálójáról a 2. irodai szerverre a következő paranccsal:

Ssh -P22 /etc/openvpn/users_tgz/server1.tgz :/root/

Vagy ha az Office 2 szerver1 nem rendelkezik állandó vagy dinamikus IP-vel, az Office 2 VPN-kiszolgálójának kulcsait egyesítjük a következő paranccsal:

ssh -P22 :/etc/openvpn/users_tgz/server1.tgz /root/

Amikor a rendszer jelszót kér, adja meg a felhasználó jelszavát gyökér , a helyes jelszó megadása után a kulcsokkal ellátott archívum letöltődik a mappába /root/server1.tgz

Csomagolja ki az archívum tartalmát ( csak kulcsfájlok mappák nélkül) /root/server1.tgz egy mappába /etc/openvpn/

Hagyja, hogy az OpenVPN szkripteket futtasson:

Vi /etc/default/openvpn

OPTARGS=""

OPTARGS="--script-security 2"

Hozzon létre egy szkriptet /etc/openvpn/up.sh akkor indul el, amikor a VPN-kliens csatlakozik a VPN-kiszolgálóhoz:

Vi /etc/openvpn/up.sh #!/bin/sh brctl addif br0 tap0 brctl addif br0 eth1 ifconfig tap0 0.0.0.0 chmod +x /etc/openvpn/up.sh

Indítsa újra az OpenVPN szervert a következő paranccsal:

/etc/init.d/openvpn újraindítás

A parancs végrehajtásakor ifconfig felületnek meg kell jelennie. tap0 IP-cím nélkül.

Mostantól mindkét irodából pingelni lehet egy másik iroda számítógépét, használhatod a megosztott mappákat, nyomtatókat, egy másik iroda erőforrásait, és játékcsatákat rendezhetsz az Office 1 és az Office 2 között :)

A hídhoz csatlakoztatott interfészek ellenőrzéséhez futtassa a következő parancsot:

brctl show

A rendszer válasza:

Híd neve híd azonosítója STP engedélyezett interfészek br0 7000.003ds4sDsf6 nincs eth1 tap0

Látjuk a helyi hálózati kártyánkat eth1és egy OpenVPN virtuális interfész tap0

A feladat befejeződött, két távoli iroda csatlakozik egy helyi hálózathoz.

Ha a cikk hasznos volt számodra, oszd meg barátaiddal az ikonodra kattintva. közösségi háló a cikk alján. Kérjük, írja meg véleményét a kézikönyvről, tetszett, volt-e haszna? Feliratkozhat arra is, hogy értesítést kapjon az új cikkekről az oldalon

Most pedig tartsunk egy kis szünetet és pihenjünk egy fél percet, feldobva a kedvünket a produktívabb munkához, nézzük meg a videót és mosolyogjunk:

Forduljon szakemberhezGorjainov DenisMűszaki igazgató+79851256588 Tegyen fel kérdést

Két vagy több helyi hálózat kombinálása

Hálózati feladatok:

1. gyors, biztonságos és megbízható információcsere kialakítása több távoli iroda és fióktelep között;

2. csatlakoztassa a mobil alkalmazottakat a helyi hálózathoz, ezzel biztosítva a biztonságot kapcsolatokat ;

3. hozzon létre egyetlen telefoncsatornát a fiókok számára a költségek megtakarítása és ellenőrzése, valamint a váltás egyszerűsége érdekében;

4. központosított internetes csatorna kialakítása és a fiókok közötti forgalomelosztás;

5. vegye át az irányítást a "központi" távoli irodák felett.

Ha meg kell oldania ezeket a problémákat, a ZSC szolgáltatása lehetővé teszi, hogy cége egyetlen hálózatba kapcsolja az összes távoli fiókot és alkalmazottat.

Helyi hálózatok konszolidációja

Amikor a cégeknek több fiókot és irodát kell összevonniuk, ma már nem elég, ha egy vállalkozó egyszerűen központi helyi hálózatot hoz létre és információcserét hoz létre.

Az ügyfélnek szüksége van komplett megoldás Val vel:

  1. egyetlen telefoncsatorna;
  2. menedzselt internetes forgalom;
  3. a fiókok számítógépeinek és szervereinek automatizált vezérlésének és távoli műszaki támogatásának lehetősége;
  4. a távoli alkalmazottak ingyenes hozzáférése a vállalati információkhoz.

Ugyanakkor biztosítani kell ezen információáramlások magas fokú biztonságát.

Ma ügyfélszolgálat helyi hálózat alatt szükséges kulcs» - a kivitelezőnek a munka egyes szakaszait önállóan, a megrendelő minimális közreműködésével kell elvégeznie. Ennek eredményeként az ügyfelet központi fiókirányítási rendszerrel kell ellátni az összes szükséges informatikai komponenssel, valamint vezérlő- és támogatási eszközökkel. Nem egy egyszerű VPN-ről beszélünk, hanem a távoli irodák virtuális egyesüléséről a „fizikai” szintre.

Ugyanakkor nem szabad elfelejtenünk, hogy a projekt két vagy több helyi hálózat egyesítése gazdaságosnak kell lennie, különben minden pozitív eredménye veszteséges lesz.

Ha fiókok és távoli irodák ilyen kombinációját kell végrehajtania, vagy annak bármely elemét (egyetlen telefonhálózat, kiegyensúlyozott Internet forgalom) kell megvalósítania, nyitottak vagyunk az együttműködésre. A digitális technológiai piacon szerzett hatalmas tapasztalattal és magas képzettségünkkel készen állunk arra, hogy a leghatékonyabb és legköltséghatékonyabb megoldást kínáljuk Önnek, az Ön vállalkozása speciális igényeire összpontosítva.

Hálózati összesítő eszközök

ZSC cégünk szakemberei bármely gyártó berendezésével dolgoznak. Ha saját útválasztói vannak, akkor azokat úgy konfiguráljuk, hogy egyesítsék a távoli irodák helyi hálózatait.

Mikrotik hálózatok kombinálása

Praxisunkban professzionális eszközöket használunk Mikrotik(gazdaságosabb és népszerűbb megoldás) és Cisco (drágább és funkcionálisabb megoldás).

A Mikrotik berendezések példáján elemezzük a helyi hálózatok kombinálásának technológiáit. Az analógokhoz képest meglehetősen alacsony piaci érték ellenére a Mikrotik szoftverplatform lehetővé teszi rugalmas, biztonságos és funkcionális információcsere-csatornák létrehozását. Ennek a gyártónak a berendezése számos projektünkben és ben bevált irodákügyfelek. Ezenkívül a Mikrotik lehetővé teszi a költségvetés komoly megtakarítását.

A Mikrotik routerek akár hét protokollt is támogatnak az információ biztonságos küldéséhez, amelyeket külön csomagokként titkosítanak egy második IP-fejléccel. Ez a fejléc tartalmazza a cél IP-címét és a feladó IP-címét. Amikor a csaló megpróbálja elkapni az információkat, csak ezeket az információkat látja, és lehetetlen meghatározni a forrás számítógépet és a fogadó számítógépet. Információszivárgás esetén túl sokáig tart a kód visszafejtése, és még nem biztos, hogy ez sikerülni fog. Vannak más lehetőségek is a biztonságos információtovábbításra.

Biztonsági protokollok:

több

PPTP(alagút pont-pont protokoll) – dedikált hálózatok nyílt hálózatokon való felépítésére szolgál. Nagy teljesítményű, sokféle titkosítási lehetőséggel és különféle szoftverplatformok használatának lehetőségével rendelkezik.

L2TP- A PPTP-vel ellentétben nagyobb hibatűréssel és jobb biztonsággal rendelkezik. Mind a nyitott hálózatokon belüli zárt hálózatok építésére, mind a vállalati hálózat távoli eszközökről történő elérésére, valamint különféle csatlakozási sémák használatára szolgál.

IP2IP- az információkat csomagokba titkosítja és külön IP-t rendel hozzá a címzetthez való megbízható továbbítás érdekében. Az interneten keresztül útválasztók közötti alagutak építésére használják.

PPPOE- a PPTP protokollhoz hasonlóan működik, de egyszerűbb és kevésbé erőforrásigényes megoldás.

IPSec- az egyik legmegbízhatóbb lehetőség a zárt alagút építésére. Ezenkívül az információ titkosított, az olvasáshoz egyedi kulcsok használata szükséges. Ez magas, kétszintű védelmet biztosít az adatátvitelhez.

VLAN- logikai nagysebességű biztonságos alagutak létrehozását teszi lehetővé, amelyek biztonsági szempontból közel állnak az információ „fizikai” továbbításához, például az irodán belül kábeleken keresztül.

EoIP- a létrehozott virtuális csatornákon túl a távoli irodák és fióktelepek átlátható társulását szervezi. Lehetővé teszi az internetes forgalom, az egyéni biztonsági házirendek rugalmas konfigurálását, a kiegyenlítés és beállítások elvégzését a távoli ágak számára. Az EoIP használatához meglehetősen széles sávszélességre van szükség, mivel a protokoll a forgalom akár 15%-át is igénybe veszi az irányításhoz.

A különböző biztonsági protokollok kombinációja lehetővé teszi rugalmas, biztonságos és megbízható információcsere-csatornák kiépítését, valamint egyedi üzleti igények kielégítését. Ha maximális biztonságra van szüksége, akkor az IPSec protokoll megfelelő, ha pedig egyszerűbb csatornára van szüksége a titkosított információk továbbítására - PPTP, L2TP vagy IP2IP. A VLAN-ok és az EoIP választható lehet a fiókok és irodák közötti átlátható és ellenőrzött információs logisztika megszervezéséhez.

Két vagy több helyi hálózat egyesítésének ára

Nyújtsa be az egységes árlistát egyértelműen két vagy több helyi hálózat csatlakoztatásának árai, amely minden projektre vonatkozna, lehetetlen. A végső számításnál sok múlik a feladatokon, az üzleti igényeken, a munka terjedelmén, az Ethernet aljzatok számán, a kábelfelvételeken és sok minden máson.

Azonban számos alapvető mutató vonatkozik bizonyos típusú munkákra:

Munka típusa

Egységek

Ár, dörzsölés.)*

Kábelcsatorna szerelés

m.

120

KábelszerelésUTP ( macska 5 e) figyelembe véve a csoporttávtartót

m.

44,48

A hullámosítás beépítése, a rögzítés figyelembevételével

m.

Aljzat beszerelésRJ-45

PC.

200

Kábeljelölés figyelembe véve a jelzett anyagokat

PC.

CCTV kamerák telepítése,Wi- fipontok stb.

PC.

1500

A vonal tesztelése érintkezésre ("folytonosság")

PC.

Strukturált rendszer tervezési munka

négyzetméter m.

Hálózati berendezések telepítése

PC.

400

Aktuális 2017.02.16-án (áfa nélkül)

Szakembereink és tervezőink képesek alkotni két vagy több helyi hálózat egyesítésére irányuló projekt Bármilyen bonyolultságú és léptékű, az üzlet sajátos igényeinek megfelelően egyezteti az ügyféllel, és kulcsrakészen hajtja végre.

Számítógépes hálózatok kombinálása – hogyan dolgozunk:

  • megkapjuk a vállalatán belül működő kezdeti adatokat, beállításokat és biztonsági szabályzatokat;
  • ezeket integráljuk a router beállításaival, a berendezést az Ön igényei szerint konfiguráljuk;
  • küldje el a konfigurált útválasztót a távoli fiókba (irodába), és csatlakoztassa;
  • végrehajtani üzembe helyezés ;
  • kulcsrakész megoldást kínálunk Önnek - két vagy több helyi hálózat kombinálásával.

Az Ön számára - minden alapvetően egyszerű! És a mi oldalunkon - hatalmas tapasztalat, magas képzettség és több tucat befejezett projekt. Mindez pedig lehetővé teszi, hogy a minőség feláldozása nélkül gyorsan, hatékonyan és komoly költségvetési megtakarítással dolgozzunk.

És ha Ön egy komplex ügyfelünk prémium előfizetéses szolgáltatás, akkor ezt a szolgáltatást ingyenesen biztosítjuk Önnek (csak a felszerelést kell fizetni)!

Nézzük meg közelebbről egy átfogó megoldás egyes összetevőit "Két vagy több helyi hálózat kombinálása".

Távoli irodák közötti telefonálás

Feladat : egységes telefonhálózat létrehozása "rövid" előfizetői számokkal a távoli fiókokban, költségmegtakarítás biztosítása a hívások és a telefonvonalak használatának ellenőrzése során, mobil munkatársak csatlakoztatása a telefonhálózathoz, egységes szám bevezetése.

Amikor egy közös hálózat egyesített bennünket Ethernet központi és távoli irodák, így egységes információs teret alakítottunk ki. Ezen a téren belül bármilyen adat átvihető: fájlok, videotartalom, hangtartalom és egyéb információk. A vállalaton belül továbbított információ legmasszívabb szegmense az szerver adatok; második a népszerűségben hangés videó tartalom.

Egyetlen helyi hálózat lehetővé teszi a berendezések olyan konfigurálását, hogy a több ezer kilométerrel elválasztható alkalmazottak ugyanabban az irodában helyezkedjenek el.

Helyhez kötött alkalmazottak

Egységes telefonhálózat kiépítése a fiókok és a „központ” között szükséges saját digitális iroda alközpont központi irodában telepítve. A fiókokban pedig IP-telefonok vannak csatlakoztatva, amelyekhez az IP-címek úgy vannak beállítva, mintha egy iroda hálózata lenne. Az alközpont és a távoli telefon azonosítja egymást, majd a távoli iroda számára "rövid" számot rendelünk. Minden úgy történik, mintha csak egy új alkalmazottat adtunk volna be a központi irodába.

Ennek eredményeként az alkalmazottak egyetlen helyen kezdenek dolgozni, függetlenül attól, hogy milyen messze vannak egymástól. Amikor egy bejövő hívás érkezik az alközpontba, a telefonközpont „gondolja”, hogy Ön ugyanabban a hálózatban van, és továbbítja a hívást, és egy másik városban vagy akár országban hallják. Ugyanakkor magas szintű adatátvitel biztosított - a kommunikáció biztonságos titkosított alagutakon keresztül történik.

Mobil munkavállalók

A mobil munkatársak is bekapcsolhatók a cég egységes telefonhálózatába. Ehhez olyan telefonokat kell használniuk, amelyek támogatják az alagútépítést. Az okostelefon belsejében egy titkosított alagút van beállítva, amely „felemelkedik”, amikor a telefonhoz csatlakozik WiFi hálózatokés az előírt beállításokkal engedélyezve van az irodájában található központi alközpontról.

Ennek eredményeként az Ön mobil alkalmazottja bekerült a vállalati telefonhálózatba, lehet, hogy "rövid" számmal rendelkezik a gyors átkapcsoláshoz, és kedvező díjszabást alkalmazhat a hívások kezdeményezésére és fogadására, amelyeket a központi alközponton konfigurálnak.

A fiókok közötti egyetlen telefonálás előnyei:

  • a belső hívásirányítás rugalmas konfigurálása;
  • több szolgáltató és tarifa használatának lehetősége;
  • egyetlen telefonszám használatának lehetősége a fiókok számára történő utólagos továbbítással;
  • jelentős megtakarítás a telefonköltségekben;
  • a bejövő és kimenő hívások központosítása és vezérlése.

A távoli fiókok közötti telefonhálózat ezen és sok más előnye között van két fő, ami miatt ez a szolgáltatás ma olyan népszerűvé vált: első- többcsatornás számok használata; és, második- telefonköltségek megtakarítása.

A többcsatornás megoldásnak köszönhetően a hívások kényelmesen eloszthatók a távoli irodák között. Elég egy hangmenüt beállítani, hogy az ügyfél egyetlen számot hívhasson, és csatlakozhasson egy adott régióhoz, városhoz, irodához vagy részleghez.

Költségmegtakarítást biztosít a logikai útválasztás több szolgáltató között, amelyek egyetlen alközponthoz csatlakoznak a központi egységben. hivatal. Vagyis elegendő egyszer helyesen konfigurálni a telefonközpontot a központi irodában, több szolgáltatót csatlakoztatva hozzá, hogy csökkentsék a telefonálás költségeit az irodák teljes fiókhálózatában. Például Oroszországon belül minden hívás egyetlen IP-telefon szolgáltatón keresztül történik. Az analóg hívások Moszkvában korlátlan számú városi vonalon, a távolsági hívások pedig egy harmadik SIP telefonszolgáltatón keresztül mennek keresztül. És ez mindenkinél így van külön fajok kommunikáció: bejövő / kimenő hívások Oroszországon belül, régión belül, városon belül, távolsági és nemzetközi hívások, vezetékes és mobiltelefonról.

Ügyfeleink komplex konfigurációkban 2-5 távközlési szolgáltatóval rendelkeznek, ami a legoptimálisabb forráselköltést biztosítja. Csak egy központi berendezés megfelelő működését kell felügyelniük, hogy ténylegesen több tucat irodát ki tudjanak szolgálni, és ne költsenek több tízezer rubelt a telefonforgalom írástudatlan használatára.

További információ erről a szolgáltatásról az "Irodai alközpont" részben található. Itt megtudhatja, hogy egy cég pontosan mennyit takaríthat meg egy központi tőzsde használatával.

Internetes hálózat

Feladat : stabil, megszakítás nélküli internetforgalom biztosítása távoli irodában vagy fiókirodában

Ha egy cégnek van egy kis fiókja egy másik városban, az eredményes munkaállandó és stabil internetkapcsolathoz kapcsolódik, és minden üzleti folyamat leáll, amint a kapcsolat megszakad, ez szükséges foglaljon le internetes csatornákat.

A MikroTik és a Cisco modern berendezéseivel biztosítjuk, hogy az ügyfél üzleti folyamatai ne álljanak le, és a távoli fiókok folyamatosan stabil internetet kapjanak.

Távoli irodák internetes csatornáinak kiegyensúlyozása - mi ez?

A feladat elvégzéséhez beállítjuk a fő és a tartalék ISP csatornáit. Ugyanakkor a biztonsági mentés lehet földi kiegészítő csatorna vagy a mobilszolgáltatók gazdaságosabb csatornája (Beeline, MTS, Megafon, Yota, Tele2).

A fő, általában erősebb csatorna meghibásodása esetén automatikusan átvált a tartalék csatornára. Egy ilyen kapcsolóval a berendezés újraengedélyezett, és a biztonsági csatornán egy alagutat emelnek ki a biztonságos titkosított adatátvitelhez. Előzetesen engedélyezni kell a berendezést oly módon, hogy az elérhetőségtől függően két internetes csatorna között egyensúlyba kerülhessen.

A végfelhasználó számára nem történik változás - egyszerűen továbbra is használja az internetet, amelyet átmenetileg egy tartalék csatornán keresztül biztosítanak. És a miénk automatizált rendszer A monitor megkapja ezeket az adatokat, a szakemberek látják az információkat, és kérést küldenek a fő csatorna szolgáltatójának a probléma megoldására.

Kérjük ügyfeleinket, hogy ne spóroljanak a tartalék csatornán, mivel a használat költsége (régiótól függően akár 1000 rubel is) jelentősen alacsonyabb lesz, mint az egyetlen internetes csatorna megszakításai miatti esetleges üzleti veszteségek.

Vannak bonyolultabb sémák is a távoli irodák internetes csatornáinak kiegyensúlyozására. Például a Cisco kifejlesztett és megvalósított GRE alagutakat. Ismerős alagutak, de a GRE fejléc a szabványos IP-csomag „tetejére” kerül. Az ilyen alagutak lehetővé teszik a tartomány engedélyezését a hálózaton belül.

Az internetes csatorna kiegyenlítésének lehetősége az ügyfél konkrét igényeitől függ.

A távoli irodák közötti helyi hálózatok más kombinációs lehetőségekhez is használhatók, pl videókonferenciázás, biztosítsa egységes biztonsági politikaés még sok más.

Mi a magunk részéről biztosítani tudjuk az ügyfél fiókhálózatának olyan egységesítését, hogy informatikai infrastruktúrája hibamentesen működjön, üzleti folyamatai ne álljanak le – készséggel állunk rendelkezésére páratlan hibatűrés minden alkatrészt.

Egyazon szervezet távoli részlegei közötti adatcsere mindig időt és néha bonyolult technikai manipulációkat igényel. Manapság az ilyen kellemetlenségeket meglehetősen könnyű kiküszöbölni, ami azt jelenti, hogy a fiókok és a távoli irodák egyetlen infrastruktúrába történő kombinálásával növelhető a vállalat egészének termelékenysége. Ezt az irodák közös vállalati hálózatba vonásával valósíthatjuk meg.

A Bit and Byte cég egyetlen VPN-hálózat konfigurálását kínálja minden olyan szervezetnek, amely képviseleti irodákkal rendelkezik, beleértve a más városokban lévőket is. Valójában tevékenységük sajátosságai legtöbbször olyanok, hogy a fiókoknak naponta információt kell cserélniük és egymás adatbázisaiba kell nézniük. Tábornok szoftver minden helyi hálózat - ez a legpraktikusabb és legracionálisabb módja a gyors információcsere megszervezésének és a távoli vállalatirányítás lehetőségének.

Mit kaphat, ha az irodákat egyetlen hálózatba egyesíti?

Az irodák egyetlen hálózatba egyesítése szolgáltatása teljes értékű hálózat létrehozását teszi lehetővé egy vállalkozás két vagy több részlege (fióktelep, iroda) között, amely a VPN-protokollokon alapuló, biztonságos információk gyors cseréjére jön létre. A vállalkozásfejlesztés jelenlegi körülményei között különösen fontosak az ilyen vállalati hálózatok, amelyek lehetőséget adnak a vállalkozás és területi leányvállalatai irányításának javítására.

Vállalkozásának összes ágának egyetlen hálózatba történő egyesítése révén Ön képes lesz:

  1. egymástól távol lévő irodák hálózatának kezelése az interneten keresztül, hozzáférést biztosítva az egyes fiókok berendezéséhez;
  2. hozzon létre egy központi adatbázist és használja azt, ami nagyon kényelmes az irodahálózat kezeléséhez;
  3. biztosítsa az összes részleg hozzáférését a vállalat belső erőforrásaihoz az információvesztés kockázata nélkül.

Az irodák egységes hálózat létrehozásával történő összevonása nem sok pénzbe kerülő szolgáltatás. A fő szerver szintjén konfigurálható további VPN hozzáférési pontok megvásárlásával. Az irodai hálózatok összevonása előtt a rendszer felkéri, hogy ellenőrizze és dolgozza fel az összes információt. Ez minden adatot megvéd az ágaktól, hogy megvédje azokat a feltöréstől.

Előnyös az irodák egyetlen hálózatba tömörítése

Manapság egyre több vállalkozás folyamodik az irodai hálózatok konszolidációjához, és nem csak azért, mert ez kényelmes és biztonságos. Egy ilyen egyesület célja és célja egyben az ilyen szolgáltatásból származó haszon is:

  • jelentősen csökkennek a költségek, mert az egyes irodákban megszűnik a karbantartási igény, és az egyes fiókok számára elérhetővé válik a központi szerver erőforrásai;
  • szoftverlicenc megszerzésekor a haszon is kézzelfogható;
  • minden iroda használja információs források egymást, függetlenül attól, hogy hol található ez vagy az a fiók;
  • nincs szükség nagy létszámú műszaki szakemberekre, mert a feladatok túlnyomó többségét távolról oldják meg;
  • egyszerre lebonyolíthat videokonferenciákat, szemináriumokat és értekezleteket az összes részleggel, és ez jelentős időmegtakarítást jelent.

Ezen túlmenően a speciális adatfeldolgozásnak köszönhetően a fiókok közötti dokumentumáramlás a lehető legbiztonságosabb.

Hogyan áll az irodai hálózatok konszolidációja