obiectivul principal unificarea rețelelor locale de birouri - pentru a oferi acces transparent la distribuite geografic resurse informaționale organizatii. Consolidarea rețelelor de birouri vă permite să rezolvați următoarele sarcini cele mai comune:
- folosirea unei singure capacități de numerotare a centralei telefonice automate de birou;
- oferiți autorizarea utilizatorilor de a accesa resurse (dosare partajate, site intranet, e-mail etc.) indiferent de locația lor curentă;
- oferiți acces securizat angajaților organizației la resursele situate în diferite birouri (de exemplu, asigurați munca angajaților cu un server 1C-enterprise instalat într-unul dintre birouri);
- lucrați pe un computer la distanță utilizând acces la terminal (control de la distanță desktop);
- crește eficiența și receptivitatea serviciului de suport tehnic prin capacitatea de a gestiona de la distanță computere, servere și alte echipamente, precum și utilizarea eficientă a instrumentelor Windows încorporate pentru asistență - Remote Assistant.
Metode de implementare a agregării rețelei de birouri
Pentru a uni rețelele locale de birouri și sucursale la distanță, se folosește tehnologia rețelelor private virtuale - VPN (Virtual Private Network). Această tehnologie este destinată protecţie criptografică date transmise prin rețele de calculatoare. O rețea privată virtuală este o colecție de conexiuni de rețea între mai multe gateway-uri VPN care criptează traficul de rețea. Gateway-urile VPN sunt numite și gateway-uri criptografice sau gateway-uri criptografice.
Există două metode pentru a construi un securizat unificat rețeaua corporativă organizatii:
- utilizarea echipamentului și a setului corespunzător de servicii ale furnizorului de internet;
- folosind echipamente proprii aflate la sediul central si sucursale.
VPN și servicii furnizate de ISP
Această soluție este aplicabilă dacă sediul central și sucursalele sunt conectate la Internet prin același ISP. Dacă sucursalele companiei sunt împrăștiate prin orașe și chiar în diferite țări, este puțin probabil să existe un furnizor care să vă poată oferi nivelul necesar de servicii și chiar și pentru bani rezonabili.
Dacă birourile dvs. se află în același oraș, verificați cu ISP-ul dvs. pentru a vedea dacă vă pot conecta rețelele LAN de birou la o singură rețea. Poate că această soluție va fi optimă pentru dvs. din punct de vedere al costului.
Consolidarea rețelelor de birouri și sucursale pe cont propriu
Metoda de combinare a două rețele folosind tehnologia VPN se numește „Peer-to-Peer VPN” sau „site-to-site VPN” în literatura de specialitate în limba engleză. Între cele două rețele este stabilit un mod de „criptare transparentă”. IPSec este cel mai utilizat protocol pentru criptarea și transmiterea traficului în rețelele IP.
Pentru a organiza conexiuni VPN (tunele VPN) între biroul central și sucursalele companiilor mici, vă recomandăm să utilizați gateway-uri hardware de Internet (firewall-uri) cu suport VPN încorporat. Un exemplu de astfel de gateway-uri ar fi ZyXEL ZyWALL, Netgear Firewall, Check Point [email protected], etc. Această clasă de produse este concepută pentru utilizare în companii mici cu un număr mediu de angajați de la 5 la 100 de persoane. Aceste dispozitive sunt ușor de configurat, au fiabilitate ridicată și performanță suficientă.
La sediul central al unei organizații, sunt adesea instalate soluții software integrate de securitate a rețelei, cum ar fi „Microsoft Internet Security and Acceleration Server 2006” (Microsoft ISA 2006), CheckPoint Express, CheckPoint VPN-1 Edge și altele. Gestionarea acestor protecții necesită personal cu înaltă calificare, care este de obicei disponibil fie la sediul central, fie împrumutat de la compania de externalizare.
Indiferent de echipamentul utilizat, schema generală pentru construirea unui VPN Peer-to-Peer pentru combinarea în siguranță a rețelelor locale de birouri la distanță într-o singură rețea este următoarea:
De asemenea, trebuie remarcat faptul că există cripto-gateway-uri hardware specializate, cum ar fi Cisco VPN Concentrator, „Continent-K”, etc. Scopul lor este rețelele medii și medii. companii mari unde este necesar să se ofere performanțe ridicate la criptarea traficului de rețea, precum și accesibilitate. De exemplu, furnizați criptarea datelor în conformitate cu GOST ("Continent-K").
Ce să căutați atunci când alegeți echipamentul
Atunci când alegeți echipamente pentru organizarea unei rețele private virtuale (VPN), trebuie să acordați atenție următoarelor proprietăți:
- numărul de tuneluri vpn suportate simultan;
- performanţă;
- capacitatea de a filtra traficul de rețea în interiorul tunelului vpn (această funcție nu este implementată în toate gateway-urile de internet);
- suport pentru controlul calității QoS (foarte util la transferul de trafic vocal între rețele);
- compatibilitate cu echipamentele existente și tehnologiile aplicate.
Soluții hardware
Avantajele soluțiilor construite pe gateway-uri hardware cu costuri reduse
- Cost scăzut;
- Fiabilitate ridicată (nu este nevoie de backup, atunci când alimentarea este oprită, nimic nu se defectează);
- Ușurință în administrare;
- Consum redus de putere;
- Ocupă puțin spațiu, poate fi instalat oriunde;
- în funcție de platforma aleasă pentru construirea unui VPN, este posibil să se instaleze servicii suplimentare pe gateway-ul vpn: scanare antivirus a traficului de internet, detectarea atacurilor și intruziunilor etc., ceea ce crește semnificativ nivelul general de securitate a rețelei și reduce costul total al unei soluții cuprinzătoare de protecție a rețelei.
dezavantaje
- Soluția nu este scalabilă, creșterea performanței se realizează printr-o înlocuire completă a echipamentelor;
- Mai puțin flexibil în setări;
- Integrarea cu Microsoft Active Directory (sau LDAP) nu este, în general, acceptată.
Soluții software
Beneficiile soluțiilor software
- Flexibilitate;
- Scalabilitate, adică capacitatea de a crește productivitatea după cum este necesar;
- Integrare strânsă cu Microsoft Active Directory (Microsoft ISA 2006, CheckPoint)
dezavantaje
- Preț mare;
- Complexitatea administrării.
Unde sa încep
Înainte de a trece la selectarea echipamentelor și software(denumit în continuare software) pentru a implementa un proiect de combinare a rețelelor locale de birouri într-o singură rețea prin VPN, trebuie să aveți următoarele informații:
- Definiți topologia:
- Meshed (complet conectat) - fiecare site poate organiza automat o conexiune criptată cu orice alt site;
- Steaua (stea) - filialele pot stabili conexiuni sigure cu site-ul central;
- Hub și Spoke (conexiune prin hub) - ramurile pot fi conectate între ele prin hub-ul site-ului central;
- Acces la distanță (acces la distanță) - utilizatorii și grupurile pot organiza conexiuni securizate către unul sau mai multe site-uri;
- Combinații ale metodelor de mai sus (de exemplu, o topologie Star with Meshed Center - o stea cu un centru complet mesh - în care ramurile la distanță pot face schimb de informații cu toți membrii VPN-ului central, care are o topologie complet mesh).
- Numărul de filiale (câte conexiuni VPN simultane ar trebui să suporte echipamentul de la sediul central);
- Numărul de utilizatori în sediul central și în fiecare sucursală;
- Ce echipamente și/sau software se utilizează în fiecare ramură (sunt necesare date pentru a lua în considerare posibilitățile de utilizare a echipamentelor și/sau software-ului existent);
- Date privind conectarea filialelor la Internet: atribuirea adresei IP - dinamică sau statică, viteza canalului de comunicare;
- Ce abordare a managementului securității informațiilor (protecția perimetrului rețelei, securitatea antivirus) va fi aplicată: gestionarea centralizată a sediului central și a filialelor de către un administrator de securitate (administrator de sistem), sau fiecare sucursală are propriul administrator de sistem.
Pentru a minimiza amenințarea de pătrundere în rețeaua biroului central, este necesar să se acorde atenția cuvenită protecției rețelelor sucursalelor organizației. Utilizarea unui VPN nu garantează o protecție fiabilă împotriva intruziunilor decât dacă rețelele de sucursale sunt, de asemenea, bine protejate. Dacă un intrus poate obține acces neautorizat la rețeaua de sucursale, atunci va putea, de asemenea, să obțină acces la sistemul informațional al sediului central, deoarece rețelele sediului central și ale sucursalei sunt combinate într-o singură rețea prin VPN.
Deși subiectul este zguduit, cu toate acestea, mulți întâmpină adesea dificultăți - fie că este un administrator de sistem începător sau doar un utilizator avansat, care a fost forțat de superiorii săi să îndeplinească funcțiile de manager enikey. Paradoxal, în ciuda abundenței de informații despre VPN, găsirea unei opțiuni clare este o problemă întreagă. Mai mult, cineva are chiar impresia că unul a scris - în timp ce alții au copiat cu nebunie textul. Drept urmare, rezultatele căutării sunt literalmente pline de o abundență de informații inutile, de care rareori se poate izola ceea ce merită. Prin urmare, am decis să mestec toate nuanțele în felul meu (poate că va fi de folos cuiva).
Deci, ce este un VPN? VPN (VirtualPrivatreţea- rețea privată virtuală) - un nume generalizat pentru tehnologiile care permit ca una sau mai multe conexiuni de rețea (rețea logică) să fie furnizate printr-o altă rețea (inclusiv Internet). În funcție de protocoalele și scopurile utilizate, un VPN poate oferi trei tipuri de conexiuni: nod-nod, rețea-nodȘi rețea-rețea. După cum se spune, fără comentarii.
Schemă VPN stereotipă
Un VPN facilitează combinarea unei gazde la distanță cu rețeaua locală a unei companii sau a unei alte gazdă, precum și combinarea rețelelor într-una singură. Beneficiul este destul de evident - obținem cu ușurință acces la rețeaua întreprinderii de la clientul VPN. În plus, un VPN vă protejează și datele prin criptare.
Nu pretind că vă descriu toate principiile funcționării VPN, deoarece există multă literatură de specialitate și, sincer să fiu, eu nu știu multe lucruri. Cu toate acestea, dacă aveți o sarcină „Fă-o!”, trebuie să vă alăturați de urgență subiectului.
Să luăm în considerare o sarcină din practica mea personală, când a fost necesară combinarea a două birouri prin VPN - sediul central și sucursala. Situația s-a complicat și mai mult de faptul că în sediul central exista un server video care ar trebui să primească video de la camera IP a filialei. Iată sarcina ta pe scurt.
Există multe moduri de a rezolva. Totul depinde de ceea ce ai la îndemână. În general, VPN este ușor de construit folosind o soluție hardware bazată pe diverse routere Zyxel. În mod ideal, se poate întâmpla și ca internetul să fie distribuit la ambele birouri de către un singur furnizor și atunci nu veți avea deloc probleme (doar apelați la Provo). Dacă firma este bogată, și CISCO își poate permite. Dar de obicei totul se rezolvă prin software.
Și aici alegerea este grozavă - Open VPN, WinRoute (rețineți că este plătit), instrumente ale sistemului de operare, programe precum Hamanchi (ca să fiu sincer, în cazuri rare poate ajuta, dar nu recomand să vă bazați pe el - versiunea gratuită are o limită de 5 gazde și un alt dezavantaj semnificativ este că întreaga ta conexiune depinde de gazda Hamanchi, ceea ce nu este întotdeauna bun). În cazul meu, ideal ar fi să folosești OpenVPN - program gratuit, care poate crea cu ușurință o conexiune VPN de încredere. Dar noi, ca întotdeauna, vom lua calea celei mai mici rezistențe.
În filiala mea, Internetul distribuie un gateway bazat pe client Windows. Sunt de acord, nu este cea mai bună soluție, dar suficientă pentru un trio de computere client. Trebuie să fac un server VPN de pe această poartă. Din moment ce citiți acest articol, probabil sunteți sigur că sunteți nou în VPN. Prin urmare, pentru tine, dau cel mai simplu exemplu, care, în principiu, mi se potrivește.
Windows din familia NT au deja capabilități rudimentare de server încorporate în ele. Configurarea unui server VPN pe una dintre mașini nu este dificilă. Ca server, voi da exemple de capturi de ecran Windows 7, dar principiile generale vor fi aceleași ca și pentru vechiul XP.
Vă rugăm să rețineți că pentru a conecta două rețele, trebuie aveau o gamă diferită! De exemplu, la sediul central, intervalul poate fi 192.168.0.x, iar la sucursală, poate fi 192.168.20.x (sau orice interval de ip gri). Acest lucru este foarte important, așa că aveți grijă. Acum, puteți începe configurarea.
Accesați serverul VPN în Panoul de control -> Centru de rețea și partajare și acces public->schimbați parametrii adaptorului.
Acum apăsați tasta Alt pentru a afișa meniul. Acolo, în elementul Fișier, selectați „Nouă conexiune de intrare”.
Bifați casetele pentru utilizatorii care se pot conecta prin VPN. Recomand cu căldură să adăugați un utilizator nou, să îi acordați un nume prietenos și să atribuiți o parolă.
După ce ați făcut acest lucru, trebuie să selectați în fereastra următoare cum se vor conecta utilizatorii. Bifați caseta „Prin internet”. Acum tot ce trebuie să faceți este să atribuiți un interval de adrese de rețea virtuală. Mai mult, puteți alege câte computere pot participa la schimbul de date. În fereastra următoare, selectați protocolul TCP / IP versiunea 4, faceți clic pe „Proprietăți”:
Veți vedea ce am în captură de ecran. Dacă doriți ca clientul să acceseze rețeaua locală în care se află serverul, pur și simplu bifați caseta de selectare „Permite apelanților să acceseze rețeaua locală”. La paragraful „Atribuirea adreselor IP”, vă recomand să specificați adresele manual după principiul pe care l-am descris mai sus. În exemplul meu, am dat intervalului doar douăzeci și cinci de adrese, deși aș fi putut să dau doar două și 255.
După aceea, faceți clic pe butonul „Permiteți accesul”.
Sistemul va crea automat un server VPN care va aștepta orfan să se alăture cineva.
Acum, singurul lucru rămas este să configurați clientul VPN. Pe computerul client, accesați și Centrul de rețea și partajare și selectați Creează o conexiune sau o rețea nouă. Acum va trebui să selectați un articol „Conectarea la un loc de muncă”
Faceți clic pe „Utilizați conexiunea mea la Internet” și acum veți fi aruncat într-o fereastră în care va trebui să introduceți adresa gateway-ului nostru de internet în filială. Pentru mine pare ca 95.2.x.x
Acum puteți apela conexiunea, introduceți numele de utilizator și parola pe care le-ați introdus pe server și încercați să vă conectați. Dacă totul este corect, atunci vei fi conectat. În cazul meu, pot deja ping orice computer din ramură și pot interoga camera. Acum mono este ușor de agățat de serverul video. Poate ai altceva.
Alternativ, la conectare, poate apărea eroarea 800, indicând că ceva nu este în regulă cu conexiunea. Aceasta este o problemă de firewall fie pe client, fie pe server. Mai exact, nu vă pot spune - totul este determinat experimental.
Așa fără pretenții am creat un VPN între două birouri. Jucătorii pot fi combinați în același mod. Cu toate acestea, nu uitați că acesta nu va fi încă un server cu drepturi depline și este mai bine să folosiți instrumente mai avansate, despre care voi discuta în următoarele părți.
În special, în partea 2 ne vom uita la configurarea OPenVPN pentru Windows și Linux.
Există o serie de soluții care sunt acum deosebit de solicitate de clienți. Una dintre ele lucrează în 1C sau alte aplicații de la distanță pe serverul întreprinderii. Imaginați-vă că aveți un server și trebuie să oferiți posibilitatea de a lucra cu date și aplicații unui director care este mereu pe drum sau unui contabil care lucrează de acasă.
Mai jos descriem un proiect pe care l-am finalizat pentru un client cu sediul central la Moscova și trei subdiviziuni în Yaroslal (birou, producție și depozit). Ni s-a dat sarcina de a uni birouri și divizii în așa fel încât munca să se desfășoare de la distanță în 1C instalat pe un server din Moscova și să se poată lucra și cu documente și un server de e-mail situat în biroul central. De asemenea, trebuie să întreținem servere și computere în departamentele aflate la distanță. Cu alte cuvinte, este necesar să se creeze un singur mediu în care utilizatorii să poată lucra cu documente comune (certificate, comenzi, facturi), să țină evidențe online și să lucreze cu e-mail.
Lucrați în 1C de la distanță
Fiecare birou și departament în care lucrează mai mult de 1 persoană are instalat un router VPN hardware. Acesta este un dispozitiv care permite, pe de o parte, să permită utilizatorilor să navigheze pe Internet și, pe de altă parte, să creeze canale VPN. Un canal VPN este o conexiune criptată securizată, un tunel care permite utilizatorilor tăi să schimbe liber date și, în același timp, este inaccesibil din exterior. Pentru a construi astfel de canale, se folosește protocol ipsec furnizarea nivel inalt puterea criptografică.
Figura prezintă o diagramă a conexiunii a două birouri.
Astfel, cu ajutorul a două routere, putem asigura comunicarea între birouri.
Se pare că rulează 1C de la distanță și funcționează. Vai! Trebuie amintit că acest canal este transmis prin Internet și, prin urmare, are o serie de limitări:
- de obicei trebuie să plătiți pentru trafic;
- viteza Internetului și, prin urmare, lățimea de bandă a unui astfel de canal, este relativ scăzută.
Lansând o astfel de telecomandă 1C, obținem situația „totul se blochează”.
Problema este rezolvată folosind accesul la terminal. Unul dintre serverele din biroul central, care are capacități de calcul notabile, l-am configurat ca un server terminal. Pentru a face acest lucru, utilizați serviciul Windows Terminal Services încorporat. Trebuie să instalați și să configurați această componentă, să activați serverul de licențe Terminal Services și să instalați licențele. După ce trebuie să instalați pe serverul 1C, și după aceea puteți lucrați în 1C de la distanță în terminal.
Tehnologia de acces la terminal înseamnă că toate sarcinile pe care le rulați în terminal sunt executate fizic pe un server la distanță și doar imaginea de pe ecran vă este transmisă. Un utilizator care a lansat 1C de la Yaroslavl în terminal poate să nu știe că 1C lucrează de la distanță pe un server din Moscova.
Ce dă? Scăderea traficului. Creșterea vitezei de procesare a procedurilor într-o bază de date 1C la distanță. Capacitatea oamenilor de a lucra de oriunde de pe planetă cu o bază de date 1C de la distanță sau cu aceleași fișiere.
Dar orice butoi de miere ar trebui să aibă propria muscă în unguent. În acest caz, constă în faptul că calitatea și însăși posibilitatea de a lucra în terminal depind de fiabilitatea conexiunii la Internet. Adesea, canalul este suficient pentru a naviga pe internet, cu toate acestea, pentru a lucra în terminal, aveți nevoie de un internet destul de fiabil. Prin fiabilitate, înțelegem nu atât viteza, cât absența pierderii pachetelor în rețea. Astfel, canalele radio utilizate de mulți furnizori oferă adesea rate de vârf foarte mari, dar procentul de pierdere a pachetelor poate ajunge la 10%. În această situație, conexiunea la terminal se va întrerupe tot timpul și va fi greu de lucrat.
Dar, în majoritatea cazurilor, reușim să stabilim capacitatea de a lucra în terminal atât cu telecomandă 1C, cât și cu alte aplicații. Acest lucru permite clienților noștri să se dezvolte dinamic, să minimizeze costurile și să asigure funcționarea durabilă a proceselor de afaceri.
Rețineți că lucru la distanță în 1C a devenit acum o tehnologie destul de comună, destul de matură și, cu setările potrivite, destul de sigură și poate fi realizată cu succes în cadrul .
Contactați un specialistGoryainov DenisDirector tehnic+79851256588 Pune o întrebare
Combinarea a două sau mai multe rețele locale
Sarcini de rețea:
1. să stabilească un schimb de informații rapid, sigur și de încredere între mai multe birouri și sucursale aflate la distanță;
2. conectați angajații mobili la rețeaua locală, asigurând securitatea conexiuni ;
3. creați un singur canal telefonic pentru sucursale pentru a economisi și controla costurile, ușurința comutării;
4. crearea unui canal de internet centralizat și distribuția traficului între filiale;
5. preia controlul birourilor de la distanță „centru”.
Dacă trebuie să rezolvați aceste probleme, serviciul de la ZSC va permite companiei dumneavoastră să conecteze toate sucursalele și angajații la distanță într-o singură rețea.
Consolidarea rețelelor locale
Atunci când companiile trebuie să combine mai multe sucursale și birouri, astăzi nu mai este suficient ca un antreprenor să înființeze pur și simplu o rețea locală centralizată și să stabilească schimbul de informații.
Clientul are nevoie solutie completa din:
- un singur canal telefonic;
- trafic de internet gestionat;
- posibilitatea de control automat și suport tehnic de la distanță a calculatoarelor și serverelor filialelor;
- acces gratuit pentru angajații de la distanță la informațiile corporative.
În același timp, ar trebui asigurat un grad ridicat de securitate a tuturor acestor fluxuri de informații.
Astăzi, serviciul pentru clienți rețele locale cerut sub cheie» - antreprenorul trebuie să efectueze fiecare etapă a lucrării în mod independent, cu o participare minimă a clientului. Ca urmare, clientul trebuie să fie dotat cu un sistem centralizat de management al sucursalei cu toate componentele IT necesare și instrumente de control și suport. Nu vorbim de un simplu VPN - vorbim de unificarea virtuală a birourilor la distanță la nivel de „fizic”.
În același timp, nu trebuie să uităm că proiectul combinând două sau mai multe rețele locale trebuie să fie economic, altfel tot rezultatul său pozitiv va fi neprofitabil.
Dacă aveți nevoie să realizați o astfel de combinație de sucursale și birouri la distanță sau să implementați oricare dintre componentele acesteia (rețea telefonică unică, trafic de internet echilibrat), suntem deschiși pentru cooperare. Cu o vastă experiență și calificări înalte pe piața tehnologiei digitale, suntem gata să vă oferim cea mai eficientă și mai rentabilă opțiune, concentrată pe nevoile specifice ale afacerii dumneavoastră.
Dispozitive de agregare a rețelei
Specialistii companiei noastre ZSC lucreaza cu echipamente de la orice producator. Dacă aveți propriile routere, le vom configura pentru a combina rețelele locale de birouri la distanță.
Combinarea rețelelor Mikrotik
În practica noastră, folosim echipamente profesionale de la Mikrotik(soluție mai economică și mai populară) și Cisco (soluție mai scumpă și mai funcțională).
Folosind exemplul echipamentelor Mikrotik, vom analiza tehnologiile de combinare a rețelelor locale. În ciuda valorii de piață destul de scăzute în comparație cu analogii, platforma software Mikrotik vă permite să configurați canale de schimb de informații flexibile, sigure și funcționale. Echipamentul acestui producător s-a dovedit în numeroasele noastre proiecte și în birouri clientii. În plus, Mikrotik vă permite să economisiți serios bugetul.
Routerele Mikrotik acceptă până la șapte protocoale pentru trimiterea în siguranță a informațiilor, care sunt criptate ca pachete separate cu un al doilea antet IP atribuit. Acest antet include adresa IP de destinație și adresa IP a expeditorului. Când încearcă să intercepteze informații, un fraudator vede doar aceste informații și este imposibil să se determine computerul sursă și computerul destinatar. În cazul unei scurgeri de informații, decriptarea codului va dura prea mult și nu este încă sigur că acest lucru va funcționa. Există și alte opțiuni pentru transmiterea în siguranță a informațiilor.
Protocoale de securitate:
Mai mult
PPTP(protocol punct la punct tunel) - folosit pentru a construi rețele dedicate peste cele deschise. Dispune de performanță ridicată, o varietate de opțiuni de criptare și capacitatea de a utiliza diverse platforme software.
L2TP- Spre deosebire de PPTP, are o toleranță mai mare la erori și o securitate mai bună. Este folosit atât pentru construirea de rețele închise în interiorul celor deschise, cât și pentru accesarea unei rețele corporative de la dispozitive la distanță, precum și pentru utilizarea diferitelor scheme de conectare.
IP2IP- criptează informațiile în pachete și îi atribuie un IP separat pentru o transmitere fiabilă către destinatar. Este folosit pentru a construi tuneluri între routere prin Internet.
PPPOE- funcționează similar cu protocolul PPTP, dar este o soluție mai simplă și mai puțin consumatoare de resurse.
IPSec- una dintre cele mai fiabile opțiuni pentru construirea unui tunel închis. În plus, informațiile sunt criptate, pentru citire este necesară utilizarea cheilor individuale. Acest lucru oferă un grad ridicat de protecție pe două niveluri pentru transmiterea datelor.
VLAN- asigura realizarea de tuneluri securizate logice de mare viteza, care din punct de vedere al securitatii sunt apropiate de transmiterea "fizica" a informatiilor, de exemplu, in interiorul biroului prin cabluri.
EoIP- organizează o asociere transparentă de birouri și sucursale la distanță pe deasupra canalelor virtuale create. Vă permite să configurați în mod flexibil traficul pe Internet, politicile de securitate individuale, efectuați echilibrarea și setările pentru sucursalele de la distanță. Pentru a utiliza EoIP, este necesară o lățime de bandă destul de largă, deoarece protocolul preia până la 15% din trafic pentru control.
Combinația de diferite protocoale de securitate vă permite să construiți canale de schimb de informații flexibile, sigure și fiabile și să răspundeți nevoilor specifice ale afacerii. Dacă aveți nevoie de securitate maximă, protocolul IPSec este potrivit, iar dacă aveți nevoie de un canal mai simplu pentru transmiterea informațiilor criptate - PPTP, L2TP sau IP2IP. VLAN-urile și EoIP pot fi o alegere pentru organizarea unei logisticii informaționale transparente și controlate între sucursale și birouri.
Prețul combinării a două sau mai multe rețele locale
Trimiteți o listă de prețuri unificată cu claritate prețuri pentru conectarea a două sau mai multe rețele locale, care s-ar aplica tuturor proiectelor, este imposibil. În calculul final, multe depind de sarcini, nevoile afacerii, domeniul de activitate, numărul de prize Ethernet, filmarea cablurilor și multe altele.
Cu toate acestea, există câțiva indicatori de bază care se aplică anumitor tipuri de muncă:
Tipul muncii | Unități | Preț, frecare.)* |
Instalare canal de cablu | m. | 120 |
Instalare cabluUTP ( pisică 5 e) luând în considerare distanțierul de grup | m. | 44,48 |
Montarea ondulației, ținând cont de prindere | m. | |
Instalare prizăRJ-45 | PCS. | 200 |
Marcarea cablului ținând cont de marcat materiale | PCS. | |
Instalarea camerelor CCTV,Wi- fipuncte, etc. | PCS. | 1500 |
Testarea liniei pentru contact („continuitate”) | PCS. | |
Lucrări de proiectare a sistemului structurat | mp m. | |
Instalarea echipamentelor de retea | PCS. | 400 |
Actual la 16.02.2017 (fără TVA)
Specialiștii și designerii noștri sunt capabili să creeze un proiect de combinare a două sau mai multe rețele locale de orice complexitate si amploare, pentru nevoile specifice ale afacerii, coordoneaza-l cu clientul si implementeaza-l la cheie.
Combinarea rețelelor de calculatoare - cum lucrăm:
- primim datele inițiale, setările și politicile de securitate care funcționează în cadrul companiei dvs.;
- le integrăm cu setările routerului, configuram echipamentele în funcție de cerințele de care aveți nevoie;
- trimiteți routerul configurat la filiala de la distanță (birou) și conectați-l;
- executa punere in functiune ;
- iti furnizeaza solutie la cheie- Asocierea a două sau mai multe rețele locale.
Pentru tine - totul este elementar simplu! Și de partea noastră - experiență vastă, calificări înalte și zeci de proiecte implementate. Și toate acestea ne permit să lucrăm rapid, eficient și cu economii serioase de buget, fără a sacrifica calitatea.
Și dacă ești clientul nostru al unui complex serviciu de abonament premium, atunci acest serviciu vă este oferit gratuit (se plătește doar echipamentul)!
Să aruncăm o privire mai atentă asupra componentelor individuale ale unei soluții cuprinzătoare „Combinarea a două sau mai multe rețele locale”.
Telefonie între birouri la distanță
O sarcină : creați o rețea telefonică unificată cu numere de abonați „scurte” în sucursalele aflate la distanță, asigurați economii de costuri la apeluri și controlul utilizării liniilor telefonice, conectați angajații mobili la rețeaua de telefonie, introduceți un singur număr.
Când ne-am unit printr-o rețea comună ethernet birouri centrale și îndepărtate, am format astfel un singur spațiu informațional. În acest spațiu pot fi transferate orice date: fișiere, conținut video, conținut vocal și alte informații. Cel mai masiv segment de informații care se transmite în cadrul companiei este datele serverului; al doilea ca popularitate voceȘi conținut video.
O singură rețea locală vă permite să configurați echipamentul în așa fel încât angajații care pot fi despărțiți de mii de kilometri să fie localizați în același birou.
Angajații staționari
Pentru a construi o rețea telefonică unificată între filiale și „centru” este necesar propriul PBX de birou digital instalat în sediul central. Iar în filiale sunt conectate telefoane IP, pentru care adresele IP sunt configurate ca și cum ar fi o rețea a unui singur birou. PBX-ul și telefonul la distanță se identifică reciproc, după care atribuim un număr „scurt” pentru biroul de la distanță. Totul se întâmplă ca și cum tocmai am adăugat un nou angajat în biroul central.
Drept urmare, angajații tăi încep să lucreze într-un singur spațiu, indiferent cât de departe sunt unul de celălalt. Când un apel de intrare vine la PBX, centrala telefonică „crede” că sunteți în aceeași rețea și redirecționează apelul și este auzit în alt oraș sau chiar țară. În același timp, este asigurat un nivel ridicat de transfer de date - comunicarea se realizează prin tuneluri criptate securizate.
Muncitori mobili
Angajații mobili pot fi, de asemenea, conectați la rețeaua telefonică unificată a companiei. Pentru a face acest lucru, trebuie să folosească telefoane care acceptă tunelul. În interiorul smartphone-ului este configurat un tunel criptat, care „se ridică” atunci când telefonul este conectat rețele WiFiși este autorizat prin setările prescrise de la centrala centrală din biroul dumneavoastră.
Ca urmare, angajatul dvs. mobil este inclus în rețeaua de telefonie corporativă, poate avea un număr „scurt” pentru comutare rapidă și poate utiliza tarife favorabile pentru efectuarea și primirea apelurilor care sunt configurate pe centrala dumneavoastră centrală.
Avantajele unei singure telefonie între filiale:
- configurație flexibilă a direcționării interne a apelurilor;
- posibilitatea folosirii mai multor operatori si tarife;
- posibilitatea utilizării unui singur număr de telefon cu redirecționare ulterioară către numerele de filiale;
- economii semnificative la costurile de telefonie;
- centralizare și control asupra apelurilor primite și efectuate.
Printre acestea și multe alte avantaje ale unei rețele de telefonie între filiale la distanță, există două principale care au făcut acest serviciu atât de popular astăzi: primul- utilizarea numerelor multicanal; Și, al doilea- economii la costurile de telefonie.
Datorită multi-canalului, apelurile sunt distribuite confortabil între birourile aflate la distanță. Este suficient doar să configurați un meniu vocal, astfel încât clientul să poată apela un singur număr și să se conecteze la o anumită regiune, oraș, birou sau divizie.
Economiile de costuri sunt asigurate de rutarea logică între mai mulți operatori care sunt conectați la un singur PBX în centrală birou. Adică este suficient să configurați corect centrala telefonică de la sediul central o singură dată, conectând mai mulți operatori la acesta, pentru a reduce costul telefoniei pentru întreaga rețea de sucursale. De exemplu, toate apelurile din Rusia sunt efectuate printr-un singur operator de telefonie IP. Apelurile analogice din Moscova trec prin linii urbane nelimitate, iar apelurile la distanță lungă printr-un al treilea operator de telefonie SIP. Și așa - pentru fiecare tip individual de comunicare: intrare/ieșire, apeluri în Rusia, în regiune, oraș, apeluri la distanță lungă și internaționale, de la linii fixe și telefoane mobile.
Clienții noștri, în configurații complexe, au de la 2 până la 5 operatori de telecomunicații, ceea ce asigură cea mai optimă cheltuire a fondurilor. Ei trebuie să monitorizeze funcționarea corectă a unui singur echipament central pentru a deservi efectiv zeci de birouri și pentru a nu cheltui zeci de mii de ruble pentru utilizarea analfabetă a traficului telefonic.
Mai multe informații despre acest serviciu găsiți în secțiunea „Office PBX”. Aici veți afla exact cât de mult poate economisi o companie atunci când folosește un schimb central.
Rețele de internet
O sarcină : asigurați trafic de internet stabil și neîntrerupt într-un birou sau sucursală aflată la distanță
Când o companie are o sucursală mică în alt oraș, ea munca eficienta este asociat cu o conexiune permanentă și stabilă la Internet și toate procesele de afaceri se opresc de îndată ce conexiunea se întrerupe, este necesar rezerva canale de internet.
Folosind echipamente moderne de la MikroTik și Cisco, ne putem asigura că procesele de afaceri ale clientului nu se opresc și că sucursalele aflate la distanță primesc în mod constant internet stabil.
Echilibrarea canalelor de internet ale birourilor la distanță - ce este?
Pentru a îndeplini această sarcină, am configurat canalele ISP-ului principal și de rezervă. În același timp, backup-ul poate fi fie un canal suplimentar terestru, fie un canal mai economic. operatori de telefonie mobilă(Beeline, MTS, Megafon, Yota, Tele2).
În cazul defecțiunii canalului principal, de obicei mai puternic, are loc trecerea automată la canalul de rezervă. Cu un astfel de comutator, echipamentul este reautorizat, iar un tunel pentru transmiterea securizată a datelor criptate este ridicat în canalul de rezervă. In prealabil este necesara autorizarea echipamentelor in asa fel incat sa fie posibila echilibrarea intre doua canale de Internet, in functie de disponibilitatea acestora.
Pentru utilizatorul final, nu vor avea loc modificări - pur și simplu va continua să utilizeze Internetul, care va fi furnizat temporar printr-un canal de rezervă. Și al nostru sistem automatizat monitorizarea primește aceste date, specialiștii văd informațiile și trimit o solicitare furnizorului canalului principal pentru a remedia problema.
Îndemnăm clienții să nu economisească pe canalul de rezervă, deoarece costul utilizării acestuia (până la 1.000 de ruble în funcție de regiune) va fi semnificativ mai mic decât posibilele pierderi de afaceri din cauza întreruperilor singurului canal de internet.
Există, de asemenea, scheme mai complexe pentru echilibrarea canalelor de internet ale birourilor la distanță. De exemplu, Cisco a dezvoltat și implementat tuneluri GRE. Sunt tuneluri familiare, dar antetul GRE este suprapus „peste” pachetului IP standard. Astfel de tuneluri vă permit să efectuați autorizarea domeniului în cadrul rețelei.
Opțiunea de echilibrare a canalului de internet depinde de nevoile specifice ale clientului.
Rețelele locale dintre birourile la distanță pot fi utilizate și pentru alte opțiuni de combinare, de exemplu, pentru videoconferinta, asigura politică de securitate unificatăși mult mai mult.
Noi, la rândul nostru, suntem capabili să asigurăm o astfel de unificare a rețelei de sucursale a clientului, astfel încât infrastructura sa IT să funcționeze fără eșecuri, astfel încât procesele sale de afaceri să nu se oprească - suntem gata să vă asigurăm toleranță la erori de neegalat toate componentele.
Cum să creați o singură rețea privată pentru toți lucrătorii mobili și sucursalele la distanță
Ce este un VPN?
Să presupunem că avem două birouri în zone diferite ale orașului sau în orașe sau țări diferite și fiecare dintre ele este conectat la Internet. Pentru a funcționa, de exemplu, 1C ca un singur sistem corporativ, trebuie să le integrăm într-o singură rețea locală. (În ciuda faptului că oferim soluții pentru 1C sub formă de baze de date distribuite. Uneori este mai ușor să creați o singură rețea și să vă conectați direct pe serverul 1C ca și cum serverul ar fi în incinta dvs.)
Desigur, puteți cumpăra o linie personală între două orașe, dar această soluție va fi cel mai probabil super costisitoare.
Soluția printr-o rețea privată virtuală (VPN - Virtual Private Network) ne oferă să organizăm această linie dedicată prin crearea unui tunel criptat prin Internet.Principalul avantaj al unui VPN față de liniile de comunicație dedicate este economisirea banilor companiei atunci când canalul este complet. închis.
Din punctul de vedere al consumatorului, VPN este o tehnologie care poate fi utilizată pentru a organiza accesul securizat de la distanță prin canale deschise de internet la servere, baze de date și orice resurse ale rețelei tale corporative. Să presupunem că un contabil din orașul A poate tipări cu ușurință o factură pe imprimanta unei secretare din orașul B la care a venit clientul. Angajații de la distanță conectați prin VPN de pe laptopurile lor vor putea, de asemenea, să lucreze în rețea, ca și cum s-ar afla în rețeaua fizică a birourilor lor.
De foarte multe ori, clienții, care se confruntă cu *frânele* ale caselor de marcat atunci când folosesc Remote Desktop, ajung la necesitatea instalării unui VPN. Acest lucru vă va permite să scăpați de trimiterea de date pentru casa de marcat înainte și înapoi către server folosind COM virtual prin Internet și vă va permite să instalați un client subțire în orice moment care comunică direct cu casa de marcat, trimițând doar necesarul. informații către server printr-un canal închis. Iar difuzarea interfeței RDP direct pe Internet expune compania dumneavoastră la riscuri foarte mari.
Metode de conectare
Metode de organizare în VPN Cel mai util este să distingem următoarele 2 metode principale:
- (Client - Rețea ) Accesul de la distanță al angajaților individuali la rețeaua corporativă a organizației prin modem sau rețea publică.
- (Rețea - Rețea) Combinarea a două sau mai multe birouri într-o singură rețea virtuală securizată prin Internet
Majoritatea manualelor, în special pentru Windows, descriu conexiunea conform primei scheme. În același timp, trebuie să înțelegeți că această conexiune nu este un tunel, ci vă permite doar să vă conectați la rețeaua VPN.Pentru a organiza aceste tuneluri, avem nevoie doar de 1 IP alb și nu după numărul de birouri la distanță, atâtea cred greșit.
Figura prezintă ambele opțiuni de conectare la biroul principal A.
Între birourile A și B este organizat un canal pentru a asigura integrarea birourilor într-o singură rețea. Acest lucru asigură că ambele birouri sunt transparente pentru orice dispozitiv aflat într-unul dintre ele, ceea ce rezolvă multe probleme. De exemplu, organizarea unei singure capacități de numerotare în cadrul unui PBX cu telefoane IP.
Toate serviciile biroului A sunt disponibile pentru clienții mobili, iar atunci când biroul B se află într-o singură rețea virtuală, serviciile sale sunt și ele disponibile.
În acest caz, metoda de conectare a clienților mobili este de obicei implementată de protocolul PPTP (Point-to-Point Tunneling Protocol) protocolul de tunelizare punct-la-punct și al doilea IPsec sau OpenVPN
PPTP
(Point-to-Point Tunneling Protocol bumagin-lohg) este un protocol de tunelare punct-la-punct, creat de Microsoft și este o extensie a PPP (Point-to-Point Protocol), prin urmare, își folosește autentificarea, compresia și criptarea. mecanisme. Protocolul PPTP este încorporat în clientul de acces la distanță Windows XP. Cu alegerea standard a acestui protocol, Microsoft sugerează utilizarea metodei de criptare MPPE (Microsoft Point-to-Point Encryption). Puteți transfera date fără criptare în clar. Încapsularea datelor PPTP are loc prin adăugarea unui antet GRE (Generic Routing Encapsulation) și a unui antet IP la datele procesate de protocolul PPP.
Din cauza unor preocupări semnificative de securitate, nu există niciun motiv să alegeți PPTP față de alte protocoale, altele decât incompatibilitatea dispozitivului cu alte protocoale VPN. Dacă dispozitivul dvs. acceptă L2TP/IPsec sau OpenVPN, atunci este mai bine să alegeți unul dintre aceste protocoale.
Trebuie remarcat faptul că aproape toate dispozitivele, inclusiv cele mobile, au un client încorporat în sistemul de operare (Windows, iOS, Android) care vă permite să configurați instantaneu o conexiune.
L2TP
(Layer Two Tunneling Protocol) este un protocol mai avansat care a luat naștere ca urmare a combinației dintre protocoalele PPTP (de la Microsoft) și L2F (de la Cisco), încorporând tot ce este mai bun dintre aceste două protocoale. Oferă o conexiune mai sigură decât prima opțiune, criptarea are loc folosind protocolul IPSec (securitate IP). L2TP este, de asemenea, încorporat în clientul de acces la distanță Windows XP, în plus, atunci când detectează automat tipul de conexiune, clientul încearcă mai întâi să se conecteze la server folosind acest protocol, care este mai de preferat din punct de vedere al securității.
În același timp, protocolul IPsec are o problemă precum negocierea parametrilor necesari În ciuda faptului că mulți producători își stabilesc parametrii impliciti fără posibilitatea de configurare, hardware-ul care utilizează acest protocol va fi incompatibil.
openvpn
O soluție VPN deschisă avansată creată de „Tehnologii OpenVPN”, care este acum standardul de facto în tehnologiile VPN. Soluția folosește protocoale de criptare SSL/TLS. OpenVPN folosește biblioteca OpenSSL pentru a oferi criptare. OpenSSL acceptă un număr mare de algoritmi criptografici diferiți, cum ar fi 3DES, AES, RC5, Blowfish. Ca și în cazul IPSec, CheapVPN include un nivel extrem de ridicat de criptare - algoritm AES cu o lungime a cheii de 256 de biți.
OpenVPN - Singura soluție care vă permite să ocoliți acei furnizori care reduc sau taxează pentru deschiderea de protocoale suplimentare, altele decât WEB. Acest lucru face posibilă organizarea de canale care, în principiu, imposibil de urmăritȘi avem astfel de solutii
Acum aveți o idee despre ce este un VPN și cum funcționează. Dacă sunteți un lider - gândiți-vă, poate că acesta este exact ceea ce căutați
Un exemplu de configurare a unui server OpenVPN pe platforma pfSense
Creați un server
- interfata: WAN(interfață de rețea de server conectată la internet)
- Protocol: UDP
- Port local: 1194
- Descriere: pfSenseOVPN(orice nume convenabil)
- Rețeaua de tuneluri: 10.0.1.0/24
- Gateway-uri de redirecționare: Aprinde(Dezactivați această opțiune dacă nu doriți ca tot traficul de internet al clientului să fie redirecționat prin serverul VPN.)
- retea locala: Lăsați necompletat(Dacă doriți ca rețeaua locală din spatele serverului pfSense să fie accesibilă clienților VPN la distanță, specificați spațiul de adresă al acelei rețele aici. Să spunem 192.168.1.0/24)
- Conexiuni simultane: 2 (Dacă ați achiziționat o licență suplimentară OpenVPN Remote Access Server, introduceți numărul corespunzător numărului de licențe achiziționate)
- Comunicații inter-clienți: Aprinde(Dacă nu doriți ca clienții VPN să se vadă, dezactivați această opțiune)
- Server DNS 1 (2 etc.): specificați serverele DNS ale gazdei pfSense.(Poți găsi adresele lor în secțiunea Sistem > Configurare generală > Servere DNS)
apoi creăm clienți și pentru a simplifica procedurile de configurare pentru programele client, pfSense oferă un instrument suplimentar - „Utilitarul de export client OpenVPN”. Acest instrument pregătește automat pachetele și fișierele de instalare pentru ca clienții să le evite setare manuală Client OpenVPN.
Conexiunea VPN între birouri acoperă astfel de cerințe de securitate comercială precum:
- Posibilitatea de acces centralizat la informații din birouri, precum și din sediul principal
- Sistem informatic corporativ unificat
- Baze de date pentru întreprinderi cu un singur punct de intrare
- E-mail corporativ cu un singur punct de intrare
- Confidențialitatea informațiilor transferate între birouri
Dacă aveți dificultăți în configurarea sau nu v-ați decis încă asupra tehnologiei VPN - sunați-ne!