|
سناریوی Gateway to Gateway یا Site to Site
سناریوی VPN Site to Site
ارتباط شبکه های راه دور با هم با کمترین هزینه
ماها عادت کردیم که هر وقت صحبت از ارتباط دو شبکه از راه دور میشه و مجلس حسابی داغ میشه، زرتی یاد VPN زدن بیفتیم ! نمیدونم ! شاید گفتن "حاجی ! ما VPN میزنیم !" کلاسی چیزی داشته باشه و حالا که فکرش رو میکنم پیاده سازی یک Infrastructure درست و حسابی برای VPN زدن واقعا مثل آپولو هوا کردن (حالا نه تا اون حد !) میمونه...
ما اینو میدونیم که وقتی یک ارتباط VPN به یک RAS Server و یا همون VPN Server میزنیم، عملا قادر به ارتباط با شبکه ی پشتی اون سرور هم هستیم و اگر خوش شانس باشیم و اینترنت در اون شبکه به روشهای مختلف مثل NAT یا Proxy یا هر کوفت زهر مار دیگه ایی به اشتراک گذاشته شده باشه (شرمنده ! یه لحظه اعصاب خراب شد !) میتونیم از طریق اون شبکه به اینترنت متصل هم بشیم !
بدین روش ما میتونیم یک کلاینت رو از طریق یک شبکه به یک شبکه ی دیگر متصل کنیم تا بتونه از منابع اون شبکه بهره ببره...ولی تا حالا به فکر سناریوی زیر افتادین ؟!
فکر کنین ما میخوایم دو شبکه رو به هم طوری وصل کنیم که اولا بتونن منابع همدیگه رو ببینن و ثانیا کسی نتونه وسط ماجرا اطلاعات ارسالی و دریافتی رو Sniff کنه و بعد بره هر غلطی دلش میخواد باهاشون بکنه ! مشکل اینجاست که این دو تا شبکه در مکانهای دوری قرار دارن که استفاده از تجهیزاتی مثل آنتنهای Wireless رو بی معنی میکنه...مکانها رو تهران و لندن در نظر بگیرین...
راه حلهای زیادی برای این نوع ارتباط هستش که غالبا گرون هستن و فقط شرکتهای کلفت توانایی پرداختشون رو دارن...یکیش رو که مثلا من مثال میزنم استفاده از خطوط اجاره ایی اختصاصی (Leased Line) هستش که در این راه باید به مخابرات کشورهای ایران تا انگلیس پول بدین تا براتون یک خط اختصاصی T1 و یا فیبر نوری بکشن تا دو تا شعبه ی شرکتتون بتونن با همدیگه ارتباط برقرار کنن...
شکلش میشه چیزی مثل شکل زیر که درش ما دو شعبه در لندن و تهران داریم و میخوایم که اینها رو به کمک خطوط اختصاصی به هم وصل کنیم...
شکل : ارتباط دو شبکه به کمک خطوط اختصاصی و خدا تومنی !
و حالا مشکل شروع میشه...
مشکل اینجاست که سناریوی بالا خدا تومن پولش میشه و هر شرکتی توانایی پرداختش رو نداره چه بسا که من احتمال میدم که موضوعات سیاسی هم روی این نوع ارتباط تاثیر بگذارن و شما شاید حتی نتونین که عمل کابل کشی رو به خاطر اینکه ایرانی هستین انجام بدین !
از طرف دیگه فکر کنین یه جایی بین کشورهای ایران و انگلیس یکی یه غلطی کرد و اشتباهی کابل رو نابود کرد، یا اینکه یه لودر از زیر خاک کشیدش بیرون و منهدمش کرد و یا اینکه حتی مخابرات کشور واسطه به دلیل مشکلاتی ارتباط رو قطع کنه و حالا بیا و درستش کن !
پس راه حلهایی که شامل تریپهای "اختصاصی" میشه جیز هستند و اصلا نباید طرفشون رفت !
ما حتی میتونیم از خطوط تلفن برای این ارتباط استفاده کنیم که در اینصورت نیاز به دو RAS Server در هر شعبه داریم تا بتونه ارسالهای ما رو از طریق خطوط تلفن دریافت کنه و ما رو به شعبه ی دیگر متصل کنه...ولی مشکل اینم سرعت درپیت خطوط ارتباطی و از طرفی هزینه ی خدا تومنیش هستش که این راهکار رو هم جیز میکنه !
حالا که دیدیم راهکارهای معمولی غالبا گرون هستن باید به دنبال راهکارهای ارزون بیفتیم !
راهکاری که من در اینجا ارائه میکنم بهش میگن سناریوی G2G یا همون Gateway 2 Gateway...
سناریوی VPN زدن که در اول متن مطرحش کردم رو یادتونه ؟! توی اون سناریو هر کلاینت برای هر بار دسترسیش به منابع شعبه ی دیگر در لندن باید یه کانکشن VPN درست میکرد و در صورتیکه UserName و Password ش درست بود و Firewall هم بهش اجازه میداد، میتونست به شعبه ی دیگر یک VPN بزنه...وقتی که ارتباط مبتنی بر VPN برقرار میشد، اونوقت این کاربر بر اساس یوزری که اونجا تعریف شده بود میتونست به منابع اون شبکه دسترسی داشته باشه.
حالا فکر کنین که شعبه ی شما 400 تا کاربر داره که اینا باید با شعبه ی لندن در ارتباط باشن و این میشه ترافیک کیلویی VPN چونکه هر کاربر هی میخواد زرتی یه VPN بزنه به اون خراب شده و بعدش زرتی قطعش کنه که اینکار نه تنها زمانبر هستش بلکه پهنای باند رو هم میخواد اشغال کنه، چونکه VPN بر روی زیرساخت اینترنت عمل میکنه و اگر چند تا کاربر خیر سرشون یادشون بره که Disconnect کنن یه دفعه میبینین که پهنای باند شبکه الکی اشغال شده و حالا بیا و درستش کن !
در راهکار G2G ما میایم و VPN Server های شعبات رو طوری تنظیم میکنیم که هر وقت و تنها هر وقت نیازی به ارتباط هر کاربر از شبکه خودش به شبکه ی دیگر بود، این ارتباط به طور خودکار انجام بشه و بعدش این کاربر بدون اینکه حتی متوجه بشه اتفاقی افتاده یه دفعه ببینه که میتونه شبکه ی شعبه ی لندن رو که هزاران کیلومتر باهاش فاصله داره مثل شبکه ی داخلی خودش ببینه !
پیاده سازی این راهکار مثل این هستش که ما انگار دو تا شبکه رو به کمک یک Router به همدیگه متصل کردیم و کاربرای شبکه ها اصلا متوجه نمیشن که وقتی درخواستی رو از شبکه ی دیگر میکنند، یک ارتباط VPN به طور خودکار شروع میشه و اونها رو وصل میکنه و بعد از اینکه کارشون تموم شد اونها رو قطع میکنه و بدین ترتیب پهنای باند هم حداقل استفاده ازش میشه...
به این Router یی که مثال زدم این دو شبکه رو به هم وصل میکنه میگن اینترنت !
شکل : ارتباط دو شبکه به کمک سناریوی G2G
و میدونین خوبی این سناریو چیه ؟! هزینه ایی که باید برای این ارتباط پرداخت کنین فقط برمیگرده به هزینه ایی که باید برای سرعت اینترنتتون به ISP تون بدین و دیگه مشکلاتی مثل پرداخت هزینه های مختلف و سرسام آور به مخابرات و یا احتمال قطعی نخواهد رفت !
اینترنت همیشه و همیشه وجود داره و متصل هستش و به همین دلیل احتمال اینکه ارتباط قطع بشه به اندازه ی احتمال اینه که اینترنت کل دنیا و Router های بین المللی قطع بشن !
این سناریو وقتی عملی تر میشه که مثلا ما در شعبه ی لندنمون یک کلاستر از سرورهایی داشته باشیم که با یک بانک اطلاعاتی ذخیره شده درون یک SAN ارتباط دارن و این بانک اطلاعاتی شامل اطلاعات بسیار مهم و حیاتی شرکت هستش که اگر به دست نامحرم بیفته میتونه شرکت رو ورشکسته بکنه...این اطلاعات میتونه چیزهایی مثل کد برنامه هایی باشه که اون شرکت مینویسه و یا اسناد و مدارک خاص اون شرکت...
حالا کاربران شعبه ی تهران وقتی که بخوان به اون اطلاعات مهم دسترسی داشته باشن فقط باید آدرس IP مربوطه رو ذکر کنن و بعدش VPN Server خودش تمامی کارها رو برای ارتباط انجام میده و کاربر رو با اون اطلاعات مهم مرتبط میکنه...خوبی این سناریو در اینجاست که ما داریم از ارتباط امن VPN استفاده میکنیم که داده های در حال انتقال رو رمز میکنه و بدینصورت حتی اگر این اطلاعات در بین راه به دست هکرها هم بیفته، اونها چیزی جز یه مشت شر و ور رمز شده رو نخواهند دید !
میتونیم این سناریو رو مثل شکل زیر حتی گسترده ترش هم بکنیم و مثلا در شعبه تهران یک وب سرور داخلی درست کنیم که سایت خودم یعنی www.CyberLone.com روش سوار شده ولی ما نمیخوایم که کاربرانی به غیر از کاربران شعبه خودمون و شعبه لندن بهش دسترسی داشته باشن، پس VPN Server ها رو طوری تنظیم میکنیم که هر وقت کاربری در شعبه لندن آدرس www.CyberLone.com رو در Web Browserش وارد کرد بصورت امن به وب سرور ما در تهران وصل بشه...
شکل زیر گویای این سناریو که یه کمی پیچیده تر از قبل هستش میباشد :
شکل : سناریوی پیشرفته ی G2G
در نهایت به پیاده سازی این سناریو میرسیم...پیاده سازی این سناریو حتی اگر هم بخواین به صورت شبیه سازی انجامش بدین کاری زمانبر هستش و بهمین دلیل ترجیح میدم که در مقاله های بعدی به تشریح پیاده سازی این سناریو به صورت عملی بپردازم.
هر سوالی در مورد این سناریو داشتین بپرسین و اگر کسی خواست اونرو به صورت عملی برای شرکت و یا هر چیز دیگه انجامش بده میتونه با من برای اینکار تماس بگیره...خوشحال میشم که بتونم این سناریو رو براتون پیاده سازی کنم (البته جیبهام هم قراره بعد از چندین سال تار عنکبوت زدن کمی خوشحال بشن ! شما که ناراحت نمیشین ؟!)
موفق باشید
|
نظرات
اصلا یاد این مقاله هه نبودم !
دوستان عزیزم... حتما اونطور که سایت از سر و روش میریزه متوجه شدین که من به خاطر دانشگاه فرصت به روز کردنش رو پیدا نمیکنم...
نمیخوام قولی بدم که بعدا بزنم زیرش (این قول نیست دیگه ! نامردیه !) ولی اگر زمانم آزاد شد (که فعلا اینطوری نخواهد بود) برای این مقاله هم اقدام میکنم...
از همه تون معذرت میخوام و امیدوارم که این گشادی بنده (!) رو به بزرگواری خودتون ببخشید...
موفق باشید !
haj esmal baghiash koooooo
damet garm
ادامه مقاله رو کی میزارین ؟ منتظریم ها
دفعه هزارمه سرم میزنم میبینم نزاشتی
ممنون از زحمات شما
پس کی دنباله این مقاله را می گذارید چشمم به در سفید شد خیلی باحاله
چون جوابتون خیلی طولانی میشه، من به همه ی سوالها پاسخ سریع میدم :
اونی که خارج از کشوره باید یه VPN Server بهمراه ماژولی برای محدود کردن پهنای باند نصب کنه... ISA Server ماژولی به نام Bandwidth Splitter داره که هم میتونه پهنای باند رو محدود کنه و هم میتونه میزان ترافیک دریافتی رو کنترل کنه.
کنترل پورتهای ارتباطی (همون "به تعداد زیادی ساپورت دادن") به کمک نرم افزار VPN Serverتون و کنترل تعداد پورتهای ارتباطی برای پروتکلهای PPTP یا L2TP ممکن خواهد بود.
در مورد موضوعات تداخل هم نمیخواد نگران باشین، چرا که VPN Server نمیذاره ارتباطات شما با همدیگه تداخل پیدا کنه...
البته اینایی که من میگم در حد توضیحات فنی ساده هستش چرا که وقتی یه Solution برای اینکار خریداری میکنین، همه چیز آماده ی استفاده ی شماست (حتی نرم افزار Billing)
برای قسمت پرسش و پاسخ هم دارم دنبال یه چیز خوب میگردم ولی پیدا کردن اون چیز "خوب" خیلی سخته...
موفق باشین !
یعنی سمت گیرنده (خودم) رو بلدم
اونی که خارج از کشوره باید چی کار کنه با کامپیوترش تا بهش دسترسی داشته باشیم
بعد می خوام یه راهی رو بگین شخصی که خارجه اتصال منو محدود کنه
یعنی مثلا 256 کیلو بایت در ثانیه
نمی دونم گرفتی چی می گم یا نه
بعد می خوام اون کسی که خارجه کار خودشو بکنه یعنی به ایمیل خودش وصل شه
منم بتونم میل خودمو باز کنم بدون تداخل
بعد هی تو دست و پای اون نرم اون به اینترنت وصل باشه من وصل شم کارمو بکنم برم
بعد شخصی که می خوام بهش وصل شم هم بتونه به تعداد زیادی ساپورت بده با محدودیت سرعت
می خوام بدونم اون باید چی کار کنه با کامپیوترش
هم اینجا جواب بدین هم بهم میل بدین ممنون می شم
نمی دونم گرفتین چی می گم یا نه
بعد تو سایتتون هم یه چیزی بزاریم بتونیم سئوال بپرسیم
این یه نوع Packet Filtering هستش که روی سرور مورد نظرتون تعریف شده و عملا دسترسی رو به یوزرهایی میده که در Range فوق تعریف شده ن. در چنین مواردی کار خاصی نمیتونین بکنین مگه اینکه در Subnet مورد قبول سرور مورد نظر (بازه ی 188.34.6) قرار داشته باشین.
RADIUS سروری که یوزر و پسورد شما رو چک میکنه قراره که فقط در Range مربوطه ی تعریف شده براش کار کنه و من با اطلاعات فعلیم از ساختار شبکه ایی که شما درباره ش نوشتین، فقط میتونم اینو بگم که شما باید از یه RAS Server دیگه به این شبکه وصل بشین (چیزی که خودتونم میدونستین !)
موفق باشید
من یه مشکل در وصل شدن به شبکه دارم اگه کمک کنید خیلی ممنون می شم
سروری که می خوام وارد بشم و به من IP میده یه reng خاصی مثل : 188.34.6.0 تا 188.34.6.255 را برای من در نظر گرفته و با این range منو میشناسه و یوزرهایی را برای این range تعریف کرده هستش و من اگه بخوام با یوزری که با Range IP دیگه تعریف شده وارد بشم خطای زیر رو میده : You can not login from this Ras آیا شما می تونید بهم کمک کنید. اگه می تونید لطفا بهم ایمیل کنید. با تشکر تابان
با هر دو قابل راه اندازیه...
موفق باشید
خوراک آر اس اس برای نظرات این مطلب