Monograph Complete

‫وزارت تحصیالت عالی‬
‫پوهنتون تعلیم و تربیه کابل‬

‫پوهنحی علوم طبیعی‬
‫دیپارتمنت کمپیوتر ساینس‬
‫تهیه و ترتیب‪ :‬محمد‪ +‬همايون "مشتاق"‬

‫تحـت نــظر‪:‬استادپوهیالی شاه ولی(شهیدی)‬
‫سال‬
‫الف‬
‫فهرست موضوعات‬
‫صفحه‬ ‫موضوع‬
‫)‪1---------------------------------------------V P N (Virtual Private Network‬‬
‫تــئوري )‪1-------------------------------------- VPN(Virtual Private Network‬‬
‫)‪ VPN (Virtual Private Network‬چيست‪3----------------------------------------‬‬
‫‪ VPN‬به زبان‪ +‬ساده‪3--------------------------------------------------------------------‬‬
‫دسته بندی ‪ VPN‬براساس‪ +‬رمزنگاری‪4--------------------------------------------------‬‬
‫دسته بندی ‪ VPN‬براساس‪ +‬الیه پیاده سازی‪4---------------------------------------------‬‬
‫دسته بندی ‪ VPN‬براساس‪ +‬کارکرد تجاری‪5-----------------------------------------------‬‬
‫مدیـریـت ‪5------------------------------------------------------------------------VPN‬‬
‫مدیریت کاربران ‪5-----------------------------------------------------------------VPN‬‬
‫مدیریت آدرس ها و ‪ Name Server‬ها‪5------------------------------------------------‬‬
‫مبانی (‪5------------------------------------------------------------------)Tunneling‬‬
‫ساخته شدن تونل(‪6------------------------------------------------------- )Tunneling‬‬
‫انواع تونل‪7-----------------------------------------------------------------------------‬‬
‫تونل اختیاری ‪7--------------------------------------------------------------------------‬‬
‫تونل اجباری‪8---------------------------------------------------------------------------‬‬
‫تونل های اجباری ایستا يا (‪8---------------------------------------------------- Static‬‬
‫تونل های اجباری پویا يا (‪8------------------------------------------------- )Dynamic‬‬
‫نگهداری تونل ‪9-------------------------------------------------------------------------‬‬
‫پروتکل نگهداری تونل ‪9-----------------------------------------------------------------‬‬
‫پروتکل تبادل اطالعات‪ +‬تونل ‪9------------------------------------------------------------‬‬
‫عناصر تشکيل دهنده يک ‪10------------------------------------------------------ VPN‬‬
‫شبکه های ‪ LAN‬جزاير اطالعاتی‪10---------------------------------------------------- +‬‬
‫اصـــــول ‪12----------------------------------------------------------------------VPN‬‬
‫پروتکل های )‪12-------------------------------- VPN (Virtual Private Network‬‬
‫پــروتـکــــل ‪12------------------------------------------------------------------PPTP‬‬
‫پــروتـکـــل ‪13-------------------------------------------------------------------L2TP‬‬
‫ب‬
‫‪13--------------------------------------------------------------------‬‬ ‫پــروتـکــل ‪Ipsec‬‬
‫پـروتـکــل ‪13--------------------------------------------------------------------IP-IP‬‬
‫فرق سرویس های ‪ L2TP‬و ‪ PPTP‬در چیست؟‪13-------------------------------------- +‬‬
‫پروتكل هاي درون تونل‪14---------------------------------------------------------------‬‬
‫‪ VPN-Ipsec‬فقط براي اينترنت‪14------------------------------------------------------+‬‬
‫ويژگي هاي امنيتي در ‪15---------------------------------------------------------IPsec‬‬
‫‪ Ipsec‬بدون تونل ‪15--------------------------------------------------------------------‬‬
‫جريان‪ +‬يك ارتباط‪15-------------------------------------------------------------- Ipsec +‬‬
‫مديريت كليدهاي رمز در ‪16-------------------------------------------------------Ipsec‬‬
‫‪16--------------------------------------------------------------- Pre shared keys :‬‬
‫امنــيت ‪16---------------------------------------VPN (Virtual Private Network‬‬
‫تکــنالـــوژی های ‪18--------------------------------------------------------------VPN‬‬
‫‪VPN Punez‬چیست؟‪19----------------------------------------------------------------+‬‬
‫راه اندازي يا پيكربندي‪22----------------------------------------------------------------‬‬
‫تنظيمات کانال ارتباطي‪25----------------------------------------------------------------+‬‬
‫قسمت ‪26--------------------------------------------------------------------General‬‬
‫‪27------------------------------------------------------------------ Options‬‬ ‫قسمت‬
‫قسمت ‪28--------------------------------------------------------------------Security‬‬
‫قسمت ‪29----------------------------------------------------------------Networking‬‬
‫قسمت ‪31------------------------------------------------------------------Advanced‬‬
‫پياه‌سازي‪32--------------------------------------------------------------------- VPN +‬‬
‫پروتكل‌هاي استفاده شونده‪33------------------------------------------------------------‬‬
‫دسترسي ايستگاه كاري از طريق ‪34-----------------------------------------------VPN‬‬
‫ج‬
‫مقــدمــه‬
‫اهمیت شبکه های کمپیوتری بر کسی پوشیده نیست ‪ ،‬در دنیای امروزی کمپیوتر به عنوان یک وسیله‬
‫مجرد به تنهایی نمی تواند به طور کامل مفید واقع شود و بازدهی کامل داشته باشد ‪ .‬آنچه به کمپیوتر اهمیتی فراتر‬
‫از سابق می بخشد نقش آن در ارتباطات و انتقال دریای عظیمی از اطالعات گوناگون است‪.‬‬
‫با گسترش استفاده از کامپيوترها ‪ ،‬نياز به برقراری ارتباط و انتقال اطالعات بين کامپيوترها به صورت‬
‫دو طرفه به طريقی موثر احساس شد ‪ .‬اين نياز منجر به طراحی تکنولوژيهای شبکه‌ای شد که امکان ارتباط‬
‫سيستمهای کامپيوتری را فراهم ميکردند ‪ .‬همزمان با رشد شبکه‌ها نياز به یک روش برای ارتباط شبکه‌های‬
‫گوناگون با يکديگر احساس شد ‪ .‬اين تکنولوژی تحت عنوان تکنولوژی بين شبکه‌ای (‪)Internetworking‬‬
‫معروف شد‪ .‬يکی از سازمانهای مهم که نياز به قابليتهای بين شبکه‌ای داشت ‪ ،‬آژانس پروژه‌های تحقيقاتی پيشرفته‬
‫اياالت متحده (‪ )ARPA‬بود‪.‬‬
‫يکی از مهمترين تکنولوژی‌های طراحی شده توسط ‪ ، ARPA‬تکنولوژی پيام‌رسانی (‪Packet -‬‬
‫‪ )Switching‬بود ‪ .‬شبکه‌های پيام رسانا ذاتا برای ارتباطات بين شبکه‌ای مناسب هستند و بهمين‪ e‬دليل ‪ARPA‬‬
‫سرمايه گذاری زيادی در تکنولوژی پيام رسانی در ارتباط دادن سايتهای کامپيوتری خود در دانشگاهها ‪،‬‬
‫انستيتوهای تحقيقاتی دولتی و ديگر مراکز کرد ‪ .‬اين شبکه تحت عنوان ‪ ARPANET‬معروف شد ‪.‬‬
‫با پيشرفته تر و بزرگتر شدن ‪ ، ARPANET‬توجه مراکز مختلف عالقه مند به تکنولوژيهای بين شبکه ای به آن‬
‫معطوف شد ‪ .‬اين آژانسها شروع به کار مشترک برای تبديل تکنولوژی ‪ ARPANET‬به يک پروتکل شبکه ای‬
‫استاندارد به نام ‪ TCP/IP‬کردند ‪ TCP/IP .‬ترکيبی از دو پروتکل اصلی است که خود مخفف آنهاست ‪ :‬پروتکل‬
‫کنترل ارتباط (‪ )Transport Control Protocol‬و پروتکل اينترنت (‪. )Internet Protocol‬‬
‫اغلب ‪ TCP/IP‬بعنوان يک پروتکل تلقی ميشود ‪ ،‬درحاليکه در حقيقت آن بسته ای از پروتکل است ‪.‬‬
‫پروتکل و يا همان قانون بين شبکه‌ای تعيين کننده موارد زير است ‪:‬‬
‫‪ -‬تعيين زمان برقراری و زمان قطع ارتباط‬
‫‪ -‬تعيين ولتاژ سيگنال‬
‫‪ -‬تعيين نحوه رسيدن پيغام به مقصد‬
‫‪ -‬هماهنگی و تنظيم سرعت انتقال اطالعات بين يکديگر‬
‫‪ -‬تنظيم و استاندارد کردن زبان انتقال اطالعات جهت قابل استفاده بودن توسط تمامی سيستمها‬
‫‪ -‬کنترل صحت ارسال و دريافت اطالعات‬
‫‪ -‬تعيين نحوه فشرده سازی اطالعات‬
‫پروتکلهای مختلفی با ويژگيهای خاص خود وجود دارند ‪ .‬بعضی از آنها ساده هستند ‪ .‬بعضی ديگر‬
‫قابليت اعتماد بيشتری دارند و بعضی ديگر سريعتر ميباشند ‪( .‬مثال اگر در قانونی تعيين شد که تمامی بسته های‬
‫اطالعاتی ارسالی از نظر صحت دريافت مورد بررسی قرارگيرند ‪ ،‬اين قانون دارای قابليت اعتماد بااليی ميباشد‬
‫ولی از نظر سرعت انتقال اطالعات در رتبه پايينی قرار ميگيرد)‪.‬‬
‫هر چه زمان می گذرد ‪ ،‬حجم اطالعات که انسان با آن سروکار دارد بیشتر و بیشتر می شود ‪ ،‬شبکه های‬
‫کمپیوتری امروزی فصل نوینی در انفورماتیک گشوده و نزدیک است مفهوم دهکده جهانی را تحقق بخشد‪.‬‬
‫با توجه به رشد و استفادۀ روز افزون از شبکه های کمپیوتری درس « ‪ »VPN‬با هدف آشنائی با اجزأ و‬
‫اصطالحات شبکه ها در نظر گرفته شده است‪.‬‬
‫از آنجا که علم کمپیوتر با سرعت خیلی زیاد در حال گسترش و تحول است‪ ،‬شاید از مطالبی که در حال حاضر به‬
‫طور ملموس با آنها سرو کار داریم درین دست نویس اثری نباشد‪.‬‬
‫این اثر کامالً بی عیب ‪ ،‬کمی و کاستی نیست ‪ ،‬از این رو از شما عزیزان خواهشمندم که پیشنهادهای راجع به این‬
‫اثر خود را با استادان دیپارتمنت کمپیوترو یا استاد رهنما ام محترم استادپوهیالی شاولی(شهیدی) در میان بگذارید‬
‫و از مشوره های مفید استادان سود و بهره کامل ببرید‪e.‬‬
‫با احترام‬
‫د‬
‫محمد همایون « مشتاق»‬
‫)‪VPN (Virtual Private Network‬‬
‫‪25/10/1386‬‬
‫‪VPN‬‬
‫(‪Virtual Private‬‬
‫‪)Network‬‬
‫شبكه خصوصي مجازي يا )‪ VPN (Virtual Private Network‬در اذهان تصور يك مطلب‬
‫پيچيده براي استفاده و پياده كنندگان آن به وجود آورده است ‪ .‬اما اين پيچيدگي ‪ ،‬در مطالب بنيادين و‬
‫مفهومي آن است نه در پياده‌سازي ‪.‬‬
‫اين نكته را بايد بدانيد كه پياده‌سازي ‪ VPN‬داراي روش خاصي نبوده و هر سخت‌افزار و‬
‫نرم‌افزاري روش پياده‌سازي خود را داراست و نمي‌توان روش استانداردي را براي كليه موارد بيان نمود‬
‫‪ .‬اما اصول كار همگي به يك روش است ‪.‬‬
‫همزمان با عموميت يافتن اينترنت ‪ ،‬اغلب سازمانها و موسسات ضرورت توسعه شبکه‬
‫اختصاصی خود را بدرستی احساس کردند‪ .‬در ابتدا شبکه های اينترانت مطرح گرديدند‪.‬اين نوع شبکه‬
‫بصورت کامال" اختصاصی بوده و کارمندان يک سازمان با استفاده از رمز عبور تعريف شده ‪ ،‬قادر به‬
‫ورود به شبکه و استفاده از منابع موجود می باشند‪ .‬اخيرا" ‪ ،‬تعداد زيادی از موسسات و سازمانها با توجه‬
‫به مطرح شدن خواسته های جديد )کارمندان از راه دور ‪ ،‬ادارات از راه دور )‪ ،‬اقدام به ايجاد شبکه های‬
‫اختصاصی مجازی )‪ VPN (Virtual Private Network‬نموده اند‪.‬‬
‫در طی ده سال گذشته دنيا دستخوش تحوالت فراوانی در عرصه ارتباطات بوده است ‪ .‬اغلب سازمانها و‬
‫موسسات ارائه دهنده کاال و خدمات که در گذشته بسيار محدود و منطقه ای مسائل را دنبال و در صدد ارائه‬
‫راهکارهای مربوطه بودند‪ ، e‬امروزه بيش از گذشته نيازمند تفکر در محدوده جهانی برای ارائه خدمات و کاالی‬
‫توليده شده را دارند‪ .‬به عبارت ديگر تفکرات منطقه ای و محلی حاکم‪ ‬بر فعاليت های تجاری جای خود را به‬
‫تفکرات جهانی و سراسری داده اند‪ .‬امروزه‪ ‬با سازمانهای زيادی برخورد می نمائيم که در سطح يک کشور‬
‫دارای دفاتر فعال و حتی در سطح دنيا دارای دفاتر متفاوتی می باشند ‪ .‬تمام سازمانهای فوق قبل از هر چيز بدنبال‪ ‬‬
‫يک اصل بسيار مهم می باشند ‪ :‬يک روش سريع ‪ ،‬ايمن و قابل اعتماد بمنظور برقراری ارتباط با دفاتر و نمايندگی‬
‫در اقصی نقاط يک کشور و يا در سطح دنيا اکثر سازمانها و موسسات بمنظور ايجاد يک شبکه ‪ WAN‬از خطوط‬
‫اختصاصی (‪ )Leased Line‬استفاده می نمايند‪.‬خطوط فوق دارای انواع متفاوتی می باشند‪( ISDN .‬با سرعت‬
‫‪ 128‬کيلوبيت در ثانيه) ‪( )OC3 Optical Carrier-3( ،‬با سرعت ‪ 155‬مگابيت در ثانيه) دامنه وسيع خطوط‬
‫اختصاصی را نشان می دهد‪ .‬يک شبکه ‪ WAN‬دارای مزايای عمده ای نسبت به يک شبکه عمومی نظير اينترنت‬
‫از بعد امنيت وکارآئی است ‪ .‬پشتيانی و نگهداری يک شبکه ‪ WAN‬در عمل و زمانيکه از خطوط اختصاصی‬
‫استفاده می گردد ‪ ،‬مستلزم صرف هزينه باالئی است ‪.‬‬
‫تــئوري ‪VPN(Virtual Private Network):‬‬

‫مفهوم اصلي ‪ VPN‬چيزي جز برقراري يك كانال ارتباطي خصوصي براي دسترسي كاربران‬
‫راه دور به منابع شبكه نيست ‪ .‬در اين كانال كه بين دو نقطه برقرار مي‌شود ‪ ،‬ممكن است كه مسيرهاي‬
‫مختلفي عبور كند اما كسي قادر به وارد شدن به اين شبكه خصوصي شما نخواهد بود ‪ .‬گرچه مي‌توان از‬
‫‪ VPN‬در هر جايي استفاده نمود اما استفاده آن در خطوط ‪ Dialup‬و ‪ Leased‬كار غير ضروري است‬
‫(در ادامه به‌دليل آن پي خواهيد برد(‪.‬‬
‫)‪M.Homayoon (Mushtaq‬‬ ‫‪1‬‬

‫‪25/10/1386‬‬
‫در يك ارتباط ‪ VPN‬شبكه يا شبكه‌ها مي‌توانند به هم متصل شوند و از اين طريق كاربران از راه‬
‫دور به شبكه به راحتي دسترسي پيدا مي‌كنند‪ .‬اگر اين روش از ارائه دسترسي كاربران از راه دور را با‬
‫روش خطوط اختصاصي فيزيكي (‪ )Leased‬مقايسه كنيم ‪ ،‬مي‌بينيد كه ارائه يك ارتباط خصوصي از‬
‫روي اينترنت به مراتب از هر روش ديگري ارزان‌تر تمام مي‌شود‪.‬‬
‫از اصول ديگري كه در يك شبكه ‪ VPN‬در نظر گرفته شده بحث امنيت انتقال اطالعات در اين‬
‫كانال مجازي مي‌باشد ‪ .‬يك ارتباط ‪ VPN‬مي‌تواند بين يك ايستگاه كاري و يك شبكه محلي و يا بين دو‬
‫شبكه محلي صورت گيرد‪ .‬در بين هر دو نقطه يك تونل ارتباطي برقرار مي‌گردد و اطالعات انتقال يافته‬
‫در اين كانال به صورت كد شده حركت مي‌كنند ‪ ،‬بنابراين حتي در صورت دسترسي مزاحمان و هكرها به‬
‫اين شبكه خصوصي نمي‌توانند به اطالعات رد و بدل شده در آن دسترسي پيدا كنند‪.‬‬
‫جهت برقراري يك ارتباط ‪ ، VPN‬مي‌توان به كمك نرم‌افزار يا سخت‌افزار و يا تركيب هر دو ‪،‬‬
‫آن را پياده‌سازي نمود ‪ .‬به طور مثال اكثر ديواره‌هاي آتش تجاري و روترها از ‪ VPN‬پشتيباني مي‌كنند ‪.‬‬
‫در زمينه نرم‌افزاري نيز از زمان ارائه ويندوز ‪ NT‬ويرايش ‪ 4‬به بعد كليه سيستم عامل‌ها داراي چنين‬
‫قابليتي هستند‪.‬‬
‫در برخی سازمان ها‪ ،‬اطالعات یک دیپارتمنت خاص به دلیل حساسیت باال‪ ،‬به طور فیزیکی از‬
‫شبکه اصلی داخلی آن سازمان جدا گردیده است‪ .‬این مسئله علیرغم محافظت از اطالعات آن دیپارتمنت‪،‬‬
‫مشکالت خاصی را نیز از بابت دسترسی کاربران دیپارتمنت مذکور به شبکه های خارجی به وجود می‬
‫آورد ‪ .VPN‬اجازه می دهد که شبکه دیپارتمنت مذکور به صورت فیزیکی به شبکه مقصد مورد نظر‬
‫متصل گردد‪ ،‬اما به صورتی که توسط ‪ VPN‬سرور‪ ،‬جدا شده است (با قرار گرفتن ‪ VPN‬سرور بین دو‬
‫شبکه)‪ .‬البته الزم به یادآوری است که نیازی نیست ‪ VPN‬سرور به صورت یک ‪ Router‬مسیر یاب بین‬
‫دو شبکه عمل نماید‪ ،‬بلکه کاربران شبکه مورد نظر عالوه بر اینکه خصوصیات و ‪ Subnet‬شبکه خاص‬
‫خود را دارا هستند به‪VPN‬سرورمتصل شده و به اطالعات درشبکه مقصد دست می یابند‪ .‬عالوه بر این‬
‫تمام ارتباطات برقرار شده از طریق ‪ ،VPN‬می توانند به منظور محرمانه ماندن رمز نگاری شوند‪ .‬برای‬
‫کاربرانی که دارای اعتبار نامه مجاز نیستند‪ ،‬اطالعات مقصد به صورت خودکار غیر قابل رویت خواهند‬
‫بود‪.‬‬
‫استفاده از ‪ RAS‬سرور و خط تلفن برای برقراری ارتباط دو مشکل عمده دارد عبارتند از‪:‬‬
‫‪1 -‬در صورتی که ‪ RAS‬سرور و سیستم تماس گیرنده در یک استان قرار نداشته باشند‪ ،‬عالوه بر لزوم‬
‫پرداخت هزینه زیاد‪ ،‬سرعت ارتباط نیز پایین خواهد آمد و این مسئله وقتی بیشتر نمود پیدا می کند که‬
‫کاربر نیاز به ارتباطی با سرعت مناسب داشته باشد‪.‬‬
‫‪2-‬در صورتی که تعداد اتصاالت راه دور در یک لحظه بیش از یک مورد باشد‪ RAS ،‬سرور‬
‫به چندین خط تلفن و مودم احتیاج خواهد داشت که باز هم مسئله هزینه مطرح می گردد‪.‬‬
‫اما با ارتباط ‪ VPN‬مشکالت مذکور به طور کامل حل می شود و کاربر با اتصال به ‪ ISP‬محلی‬
‫به اینترنت متصل شده و ‪ VPN‬بین کامپیوتر کاربر و سرور سازمان از طریق اینترنت ایجاد می گردد‪.‬‬
‫ارتباط مذکور می تواند از طریق خط ‪ Dialup‬و یا خط اختصاصی مانند ‪ Leased Line‬برقرار شود‪.‬‬
‫به هر حال اکنون مسئله این نیست که طریقه استفاده از ‪ VPN‬چیست‪ ،‬بلکه مسئله این است که کدامیک از‬
‫تکنولوژی های ‪ VPN‬باید مورد استفاده قرار گیرند‪ .‬پنج نوع پروتکل در ‪ VPN‬مورد استفاده قرار می‬
‫گیرد که هر کدام مزایا و معایبی دارند‪ .‬در این مقاله ما قصد داریم در مورد هر کدام از این پروتکل ها‬
‫بحث کرده و آنها را مقایسه کنیم‪ .‬البته نتیجه نهایی به هدف شما در استفاده ‪ VPN‬بستگی دارد‪.‬‬

‫‪25/10/1386‬‬
‫)‪ VPN (Virtual Private Network‬چيست ؟‬

‫شبکه خصوصی مجازی یا ‪ Virtual Private Network‬که به اختصار ‪ VPN‬نامیده می شود‪،‬‬
‫امکانی است برای انتقال ترافیک خصوصی بر روی شبکه عمومی‪ .‬معموال از ‪ VPN‬برای‬
‫اتصال دو شبکه خصوصی از طریق یک شبکه عمومی‪ e‬مانند اینترنت استفاده می شود‪.‬منظور از‬
‫یک شبکه خصوصی شبکه ای است که بطور آزاد در اختیار و دسترس عموم نیست‪ VPN .‬به‬
‫این دلیل مجازی نامیده می شود که از نظر دو شبکه خصوصی ‪ ،‬ارتباط از طریق یک ارتباط و‬
‫شبکه خصوصی بین آنها برقرار است اما در واقع شبکه عمومی این کار را انجام می دهد‪ .‬پیاده‬
‫سازی ‪ VPN‬معموال اتصال دو یا چند شبکه خصوصی از طریق یک تونل رمزشده انجام می‬
‫شود‪ .‬در واقع به این وسیله اطالعات در حال تبادل بر روی شبکه عمومی‪ e‬از دید سایر کاربران‬
‫محفوظ می ماند‪.‬‬
‫‪ VPN‬دو كامپيوتر يا دو شبكه را به كمك يك شبكه ديگر كه به عنوان مسير انتقال به كار مي‬
‫گيرد به هم متصل مي كند‪ .‬براي نمونه مي توان به دو كامپيوتر يكي در کابل و ديگري در مزار‬
‫شریف كه در فضاي اينترنت به يك شبكه وصل شده اند اشاره كرد‪ VPN .‬از نگاه كاربر كامال”‬
‫مانند يك شبكه محلي به نظر مي رسد‪ .‬براي پياده سازي چنين چيزي ‪ VPN ،‬به هر كاربر يك‬
‫ارتباط ‪ IP‬مجازي مي دهد ‪.‬‬
‫يک ‪ ، VPN‬شبکه ای اختصاصی بوده که از يک شبکه عمومی‪ ( e‬عموما" اينترنت ) ‪ ،‬برای‬
‫ارتباط با سايت های از راه دور و ارتباط کاربران بايکديگر‪ ،‬استفاده می نمايد‪ .‬اين نوع شبکه ها‬
‫در عوض استفاده از خطوط واقعی نظير ‪ :‬خطوط ‪ ، Leased‬از يک ارتباط مجازی بکمک‬
‫اينترنت برای شبکه اختصاصی بمنظور ارتباط به سايت ها استفاده می کند‪.‬‬
‫‪ Data‬هايي كه روي اين ارتباط آمد و رفت دارند را سرويس گيرنده نخست به رمز در آورده و‬
‫در قالب بسته ها بسته بندي كرده و به سوي سرويس دهنده ‪ VPN‬مي فرستد‪ .‬اگر بستر اين انتقال اينترنت‬
‫باشد بسته ها همان بسته هاي ‪ IP‬خواهند بود ‪.‬‬
‫سرويس گيرنده ‪ VPN‬بسته ها را پس از دريافت رمز گشايي كرده و پردازش الزم را روي آن‬
‫انجام مي دهد ‪ .‬روشي كه شرح داده شد را اغلب ‪ Tunneling‬يا تونل زني مي نامند چون ‪ Data‬ها‬
‫براي رسيدن به كامپيوتر مقصد از چيزي مانند تونل مي گذرند ‪ .‬براي پياده سازي ‪ VPN‬راه هاي‬
‫گوناگوني وجود دارد كه پر كاربرد ترين آنها عبارتند از (‪ )Point to point Tunneling protocol‬يا‬
‫‪ PPTP‬كه براي انتقال ‪ NetBEUI‬روي يك شبكه بر پايه ‪ IP‬مناسب است‪.‬‬
‫‪ Layer 2 Tunneling protocol‬يا ‪ L2TP‬كه براي انتقال ‪ IP ، IPX‬يا ‪ NetBEUI‬روي‬
‫هر رسانه دلخواه كه توان انتقال ‪ Datagram‬هاي نقطه به نقطه (‪ )Point to point‬را داشته باشد‬
‫مناسب است‪ .‬براي نمونه مي توان به ‪ IP ، X.25 ، Frame Relay‬يا ‪ ATM‬اشاره كرد ‪.‬‬
‫‪ IP Security protocol‬يا ‪ Ipsec‬كه براي انتقال ‪ Data‬هاي ‪ IP‬روي يك شبكه بر پايه ‪ IP‬مناسب‬
‫است‪.‬‬
‫‪VPN‬به زبان ساده‪:‬‬

‫‪25/10/1386‬‬
‫هنگامی که شما از کامپیوتر محل زندگی یا کار خود به اینترنت وصل می شود‪ ،‬ارتباطی از‬
‫ترمینال شما (کامپیوتر) به سرور (اینترنت) ایجاد می شود که از طریق این ارتباط شما می توانید‬
‫اطالعات مربوطه را از اینترنت دریافت کنید و سایت هایی که در سرور های مختلف وجود دارند را‬
‫مشاهده نمایید‪ .‬اما این کانال ایجاد شده از امنیت زیادی برخوردار نیست و در صورتی که از اینترنت‬
‫برای انتقال اطالعات حساس استفاده می کنید‪ ،‬ممکن است برای شما گران تمام شود‪ ،‬زیرا اطالعات‬
‫ارسالی شما توسط کانال های معمولی‪ e‬اینترنت‪ ،‬قابل ردیابی است و هکر ها می توانند با استفاده از روش‬
‫هایی مثل ‪ sniffing‬اطالعات شما را بازیابی کنند‪.‬‬
‫‪ VPN‬را می توان بسته به شیوه پیاده سازی و اهداف پیاده سازی آن به انواع مختلفی تقسیم کرد‪.‬‬
‫دسته بندی ‪ VPN‬براساس رمزنگاری‪:‬‬

‫‪ VPN‬را می توان با توجه به استفاده یا عدم استفاده از رمزنگاری به دو گروه اصلی تقسیم کرد‪:‬‬
‫‪VPN -1‬رمزشده ‪ VPN :‬های رمز شده از انواع مکانیزمهای رمزنگاری برای انتقال امن‬
‫اطالعات بر روی شبکه عمومی استفاده می کنند‪ .‬یک نمونه خوب از این ‪ VPN‬ها ‪ ،‬شبکه های‬
‫خصوصی مجازی اجرا شده به کمک ‪ IPSec‬هستند‪.‬‬
‫‪ VPN -2‬رمزنشده ‪ :‬این نوع از ‪ VPN‬برای اتصال دو یا چند شبکه خصوصی با هدف استفاده‬
‫از منابع شبکه یکدیگر ایجاد می شود‪ .‬اما امنیت اطالعات در حال تبادل حائز اهمیت نیست یا این که این‬
‫امنیت با روش دیگری غیر از رمزنگاری تامین می شود‪ .‬یکی از این روشها تفکیک مسیریابی است‪.‬‬
‫منظور از تفکیک مسیریابی آن است که تنها اطالعات در حال تبادل بین دو شبکه خصوصی به هر یک‬
‫از آنها مسیر دهی می شوند‪ )MPLS VPN( .‬در این مواقع می توان در الیه های باالتر از رمزنگاری‬
‫مانند ‪ SSL‬استفاده کرد‪.‬‬
‫هر دو روش ذکر شده می توانند با توجه به سیاست امنیتی مورد نظر ‪ ،‬امنیت مناسبی را برای‬
‫مجموعه به ارمغان بیاورند‪ ،‬اما معموال ‪ VPN‬های رمز شده برای ایجاد ‪ VPN‬امن به کار می روند‪.‬‬
‫سایر انواع ‪ VPN‬مانند ‪ MPLS VPN‬بستگی به امنیت و جامعیت عملیات مسیریابی دارند‪.‬‬
‫‪ ‬‬
‫دسته بندی ‪ VPN‬براساس الیه پیاده سازی‪:‬‬
‫‪ VPN‬بر اساس الیه مدل ‪ OSI‬که در آن پیاده سازی شده اند نیز قابل دسته بندی هستند‪ .‬این‬
‫موضوع از اهمیت خاصی برخوردار است‪ .‬برای مثال در ‪ VPN‬های رمز شده ‪ ،‬الیه ای که در آن‬
‫رمزنگاری انجام می شود در حجم ترافیک رمز شده تاثیر دارد‪ .‬همچنین سطح شفافیت ‪ VPN‬برای‬
‫کاربران آن نیز با توجه به الیه پیاده سازی مطرح می شود‪.‬‬
‫‪ VPN -1‬الیه پیوند ‪ : Data‬با استفاده از ‪ VPN‬های الیه پیوند ‪ Data‬می توان دو شبکه‬
‫خصوصی را در الیه ‪ 2‬مدل ‪ OSI‬با استفاده از پروتکلهایی مانند ‪ ATM‬یا ‪ Frame Relay‬به هم متصل‬
‫کرد‪.‬با وجودی که این مکانیزم راه حل مناسبی به نظر می رسد اما معموال روش ارزنی نیست چون نیاز‬
‫به یک مسیر اختصاصی الیه ‪ 2‬دارد‪ .‬پروتکلهای ‪ Frame Relay‬و ‪ ATM‬مکانیزمهای رمزنگاری را‬
‫تامین نمی کنند‪ .‬آنها فقط به ترافیک اجازه می دهند تا بسته به آن که به کدام اتصال الیه ‪ 2‬تعلق دارد ‪،‬‬
‫تفکیک شود‪ .‬بنابراین اگر به امنیت بیشتری نیاز دارید باید مکانیزمهای رمزنگاری مناسبی را به کار‬
‫بگیرید‪.‬‬
‫‪ VPN -2‬الیه شبکه ‪ :‬این سری از ‪ VPN‬ها با استفاده از ‪ tunneling‬الیه ‪ 3‬و‪/‬یا تکنیکهای‬
‫رمزنگاری استفاده می کنند‪ .‬برای مثال می توان به ‪ IPSec Tunneling‬و پروتکل رمزنگاری برای‬
‫ایجاد ‪ VPN‬اشاره کرد‪.‬مثالهای دیگر پروتکلهای ‪ GRE‬و ‪ L2TP‬هستند‪ .‬جالب است اشاره کنیم که‬
‫‪ L2TP‬در ترافیک الیه ‪ 2‬تونل می زند اما از الیه ‪ 3‬برای این کار استفاده می کند‪ .‬بنابراین در ‪VPN‬‬

‫‪25/10/1386‬‬
‫های الیه شبکه قرار می گیرد‪ .‬این الیه برای انجام رمزنگاری نیز بسیار مناسب است‪ .‬در بخشهای بعدی‬
‫این گزارش به این سری از ‪ VPN‬ها به طور مشروح خواهیم پرداخت‪.‬‬
‫‪ VPN -3‬الیه کاربرد ‪ :‬این ‪ VPN‬ها برای کار با برنامه های کاربردی خاص ایجاد شده اند‪.‬‬
‫‪ VPN‬های مبتنی بر ‪ SSL‬از مثالهای خوب برای این نوع از ‪ VPN‬هستند‪ SSL .‬رمزنگاری را بین‬
‫مرورگر وب و سروری که ‪ SSL‬را اجرا می کند‪ ،‬تامین می کند‪ SSH.‬مثال دیگری برای این نوع از‬
‫‪ VPN‬ها است‪ SSH.‬به عنوان یک مکانیزم امن و رمز شده برای ‪ login‬به اجزای مختلف شبکه شناخته‬
‫می شود‪ .‬مشکل ‪ VPN‬ها در این الیه آن است که هرچه خدمات و برنامه های جدیدی اضافه می شوند ‪،‬‬
‫پشتیبانی آنها در ‪ VPN‬نیز باید اضافه شود‪.‬‬
‫‪ ‬‬
‫دسته بندی ‪ VPN‬براساس کارکرد تجاری‪:‬‬
‫‪ VPN‬را برای رسیدن به اهداف تجاری خاصی ایجاد می شوند‪ .‬این اهداف تجاری تقسیم بندی‬
‫جدیدی را برای ‪ VPN‬بنا می کنند‪.‬‬
‫‪ VPN -1‬اینترانتی ‪ :‬این سری از ‪ VPN‬ها دو یا چند شبکه خصوصی را در درون یک‬
‫سازمان به هم متصل می کنند‪ .‬این نوع از ‪ VPN‬زمانی معنا می کند که می خواهیم شعب یا دفاتر یک‬
‫سازمان در نقاط دوردست را به مرکز آن متصل کنیم و یک شبکه امن بین آنها برقرار کنیم‪.‬‬
‫‪ VPN -2‬اکسترانتی ‪ :‬این سری از ‪ VPN‬ها برای اتصال دو یا چند شبکه خصوصی از دو یا‬
‫چند سازمان به کار می روند‪ .‬از این نوع ‪ VPN‬معموال برای سناریوهای ‪ B2B‬که در آن دو شرکت می‬
‫خواهند به ارتباطات تجاری با یکدیگر بپردازند‪ ،‬استفاده می شود‪.‬‬
‫مدیـریـت‪VPN :‬‬
‫در بیشتر موارد مدیریت یک ‪ VPN‬مانند مدیریت یک ‪ RAS‬سرور (به طور خالصه‪ ،‬سروری که‬
‫ارتباط ها و ‪ Connection‬های برقرار شده از طریق راه دور را کنترل و مدیریت می کند)‪ ،‬می باشد‪.‬‬
‫البته امنیت ‪ VPN‬باید به دقت توسط ارتباطات اینترنتی مدیریت گردد‪.‬‬
‫مدیریت کاربران ‪VPN:‬‬

‫بیشتر مدیران شبکه برای مدیریت کاربران خود از یک پایگاه ‪ Data‬ها برروی کامپیوتر ‪ DC‬و یا از‬
‫سرور ‪ RADIUS‬استفاده می نمایند‪ .‬این کار به سرور ‪ VPN‬اجازه می دهد تا اعتبارنامه احراز هویت‬
‫کاربران را به یک سیستم احراز هویت مرکزی ارسال کند‪.‬‬
‫مدیریت آدرس ها و ‪ Name Server‬ها‪:‬‬

‫سرور ‪ VPN‬باید رشته ای از آدرس های ‪ IP‬فعال را در خود داشته باشد تا بتواند آنها را در طول مرحله‬
‫پردازش ارتباط از طریق پروتکل کنترل ‪ IP‬به نام ‪ IPCP‬به درگاه های ‪ VPN Server‬یا ‪Client‬‬
‫اختصاص دهد‪.‬‬
‫در ‪ VPN‬هایی که مبتنی بر ویندوز ‪ 2000‬پیکربندی می شوند‪ ،‬به صورت پیش فرض‪ IP ،‬آدرس هایی‬
‫که به ‪ Client‬های ‪ VPN‬اختصاص داده می شود‪ ،‬از طریق سرور ‪ DHCP‬گرفته می شوند‪ .‬البته همان‬
‫طور که قبال گفته شد شما می توانید یک رشته ‪ IP‬را به صورت دستی یعنی ایستا به جای استفاده از‬
‫‪ DHCP‬اعمال کنید‪ .‬ضمنا ‪ VPN Server‬باید توسط یک سیستم تامین کننده نام مانند ‪ DNS‬و یا‬
‫‪ WINS‬نیز پشتیبانی شود تا بتواند سیستم ‪ IPCP‬را به مورد اجرا بگذارد‪.‬‬
‫مبانی ‪)Tunneling(:‬‬
‫‪ Tunneling‬یا سیستم ایجاد تونل ارتباطی با نام کپسوله کردن (‪ )Encapsulation‬نیز شناخته می شود‬

‫‪25/10/1386‬‬
‫که روشی است برای استفاده از زیر ساخت یک شبکه عمومی جهت انتقال اطالعات‪ .‬این اطالعات ممکن‬
‫است از پروتکل دیگری باشد‪ .‬اطالعات به جای اینکه به صورت اصلی و ‪ Original‬فرستاده شوند‪ ،‬با‬
‫اضافه کردن یک ‪ Header‬کپسوله می شوند‪ .‬این ‪ Header‬اضافی که به پکت متصل می شود‪،‬‬
‫اطالعات مسیر یابی را برای پکت فراهم می کند تا اطالعات به صورت صحیح‪ ،‬سریع و فوری به مقصد‬
‫برسند‪ .‬هنگامی که پکت های کپسوله شده به مقصد رسیدند‪ ،‬سرایندها از روی پکت برداشته شده و‬
‫اطالعات به صورت اصلی خود تبدیل می شوند‪ .‬این عملیات را از ابتدا تا اتمام کار ‪ Tunneling‬می‬
‫نامند‪.‬‬
‫ساخته شدن تونل‪)Tunneling(:‬‬

‫یک تونل باید قبل از این که تبادل اطالعات انجام شود‪ ،‬ساخته شود‪ .‬عملیات ساخته شدن تونل به وسیله‬
‫یک طرف تونل یعنی کالینت آغاز می شود و طرف دیگر تونل یعنی سرور‪ ،‬تقاضای ارتباط‬
‫‪ Tunneling‬را دریافت می کند‪ .‬برای ساخت تونل یک عملیات ارتباطی مانند ‪ PPP‬انجام می شود‪.‬‬
‫سرور تقاضا می کند که کالینت خودش را معرفی کرده و معیارهای تصدیق هویت خود را ارائه نماید‪.‬‬
‫هنگامی که قانونی بودن و معتبر بودن کالینت مورد تایید قرار گرفت‪ ،‬ارتباط تونل مجاز شناخته شده و‬
‫پیغام ساخته شدن تونل توسط کالینت به سرور ارسال می گردد و سپس انتقال اطالعات از طریق تونل‬
‫شروع خواهد شد‪ .‬برای روشن شدن مطلب‪ ،‬مثالی می زنیم‪ .‬اگر محیط عمومی را‪ ،‬که غالبا نیز همین‬
‫گونه است‪ ،‬اینترنت فرض کنیم‪ ،‬کالینت پیغام ساخته شدن تونل را از آدرس ‪ IP‬کارت شبکه خود به‬
‫عنوان مبدا به آدرس ‪ IP‬مقصد یعنی سرور ارسال می کند‪ .‬حال اگر ارتباط اینترنت به صورت ‪Dialup‬‬
‫از جانب کالینت ایجاد شده باشد‪ ،‬کالینت به جای آدرس ‪ NIC‬خود‪ ،‬آدرس ‪ IP‬را که ‪ ISP‬به آن‬
‫اختصاص داده به عنوان مبدا استفاده خواهد نمود‪.‬‬
‫اکثر شبکه های ‪ VPN‬بمنظور ايجاد يک شبکه اختصاصی با قابليت دستيابی از طريق اينترنت از امکان‬
‫" ‪ " Tunneling‬استفاده می نمايند‪ .‬در روش فوق تمام بسته اطالعاتی در يک بسته ديگر قرار گرفته و‬
‫از طريق شبکه ارسال خواهد شد‪ .‬پروتکل مربوط به بسته اطالعاتی خارجی ( پوسته ) توسط شبکه و دو‬
‫نفطه (ورود و خروج بسته اطالعاتی ) قابل فهم می باشد‪ .‬دو نقظه فوق را "اينترفيس های تونل " می‬
‫گويند‪ .‬روش فوق مستلزم استفاده از سه پروتکل است ‪:‬‬
‫پروتکل حمل کننده ‪ :‬از پروتکل فوق شبکه حامل اطالعات استفاده می نمايد‪.‬‬
‫پروتکل کپسوله سازی ‪ :‬از پروتکل هائی نظير‪ IPSec,L2F,PPTP,L2TP,GRE :‬استفاده می گردد‪.‬‬
‫پروتکل مسافر‪ :‬از پروتکل هائی نظير ‪ IPX,IP,NetBeui‬بمنظور انتقال ‪ Data‬های اوليه استفاده می‬
‫شود‪.‬‬
‫با استفاده از روش ‪ Tunneling‬می توان عمليات جالبی را انجام داد‪ .‬مثال" می توان از بسته ای‬
‫اطالعاتی که پروتکل اينترنت را حمايت نمی کند نظير (‪ )NetBeui‬درون يک بسته اطالعاتی ‪IP‬‬
‫استفاده و آن را از طريق اينترنت ارسال نمود و يا می توان يک بسته اطالعاتی را که از يک آدرس ‪IP‬‬
‫غير قابل روت ) اختصاصی ) استفاده می نمايد ‪ ،‬درون يک بسته اطالعاتی که از آدرس های معتبر ‪IP‬‬
‫استفاده می کند ‪ ،‬مستقر و از طريق اينترنت ارسال نمود‪.‬‬
‫در شبکه های ‪ VPN‬از نوع " سايت به سايت " ‪GRE (generic routing ،‬‬
‫)‪ encapsulation‬بعنوان پروتکل کپسوله سازی استفاده می گردد‪ .‬فرآيند فوق نحوه استقرار و بسته بندی‬
‫" پروتکل مسافر" از طريق پروتکل " حمل کننده " برای انتقال را تبين می نمايد‪ ( .‬پروتکل حمل کننده ‪،‬‬
‫عموما ‪ IP‬است ) ‪ .‬فرآيند فوق شامل اطالعاتی در رابطه با نوع بست های اطالعاتی برای کپسوله نمودن‬

‫‪25/10/1386‬‬
‫و اطالعاتی در رابطه با ارتباط بين سرويس گيرنده و سرويس دهنده است ‪ .‬در برخی موارد از پروتکل (‬
‫‪ )IPSec‬در حالت ‪ tunnel‬برای کپسوله سازی استفاده می گردد‪ .‬پروتکل (‪ ، )IPSec‬قابل استفاده در دو‬
‫نوع شبکه‪(VPN‬سايت به يايت و دستيابی از راه دور) است ‪ .‬اينترفيس های ‪ Tunnel‬می بايست دارای‬
‫امکانات حمايتی از ‪ IPSec‬باشند‪.‬‬
‫در شبکه های ‪ VPN‬از نوع " دستيابی از راه دور " ‪ Tunneling ،‬با استفاده از ‪ PPP‬انجام‬
‫می گيرد‪ PPP .‬بعنوان حمل کننده ساير پروتکل های ‪ IP‬در زمان برقراری ارتباط بين يک سيستم ميزبان‬
‫و يک سيستم ازراه دور ‪ ،‬مورد استفاده قرار می گيرد‪.‬‬
‫هر يک از پروتکل های زير با استفاده از ساختار اوليه ‪ PPP‬ايجاد و توسط شبکه های ‪ VPN‬از نوع‬
‫" دستيابی از راه دور" استفاده می گردند‪:‬‬
‫‪ L2F (Layer 2 Forwarding) -‬پروتکل فوق توسط سيسکو ايجاد شده است ‪ .‬در پروتکل فوق از‬
‫مدل های تعيين اعتبار کاربر که توسط ‪ PPP‬حمايت شده اند ‪ ،‬استفاده شد ه است ‪.‬‬
‫‪ PPTP (Point-to-Point Tunneling Protocol) :-‬پروتکل فوق توسط کنسرسيومی متشکل از‬
‫شرکت های متفاوت ايجاد شده است‪ .‬اين پروتکل امکان رمزنگاری ‪ 40‬بيتی و ‪ 128‬بيتی را دارا بوده و‬
‫از مدل های تعيين اعتبار کاربر که توسط ‪ PPP‬حمايت شده اند ‪ ،‬استفاده می نمايد‪.‬‬
‫‪ L2TP (Layer 2 Tunneling Protocol):-‬پروتکل فوق با همکاری چندين شرکت ايجاد شده‬
‫است ‪.‬پروتکل فوق از ويژگی های ‪ PPTP‬و ‪ L2F‬استفاده کرده است‪ .‬پروتکل ‪ L2TP‬بصورت کامل‬
‫‪ IPSec‬را حمايت می کند‪ .‬از پروتکل فوق بمنظور ايجاد تونل بين موارد زير استفاده می گردد ‪:‬‬
‫سرويس گيرنده و روتر‬
‫‪ NAS‬و روتر‬
‫روتر و روتر‬
‫عملکرد ‪ Tunneling‬مشابه حمل يک کامپيوتر توسط يک کاميون است ‪ .‬فروشنده ‪ ،‬پس از بسته‬
‫بندی کامپيوتر ( پروتکل مسافر ) درون يک جعبه) پروتکل کپسوله سازی ) آن را توسط يک کاميون‬
‫( پروتکل حمل کننده ) از انبار خود) ايترفيس ورودی تونل) برای متقاضی ارسال می دارد‪ .‬کاميون‬
‫( پروتکل حمل کننده ) از طريق بزرگراه (اينترنت) مسير خود را طی ‪ ،‬تا به منزل شما ( اينترفيس‬
‫خروجی تونل ( برسد‪ .‬شما در منزل جعبه ( پروتکل کپسول سازی ) را باز و کامپيوتر ( پروتکل مسافر(‬
‫را از آن خارج می نمائيد‪.‬‬
‫انواع تونل‪:‬‬
‫تونل ها به دو نوع اصلی تقسیم می گردند‪ :‬اختیاری و اجباری‪.‬‬
‫تونل اختیاری‪:‬‬
‫تونل اختیاری به وسیله کاربر و از سمت کامپیوتر کالینت طی یک عملیات هوشمند‪ ،‬پیکربندی و‬
‫ساخته می شود‪ .‬کامپیوتر کاربر نقطه انتهایی تونل بوده و به عنوان تونل کالینت عمل می کند‪ .‬تونل‬
‫اختیاری زمانی تشکیل می شود که کالینت برای ساخت تونل به سمت تونل سرور مقصد داوطلب شود‪.‬‬
‫هنگامی که کالینت به عنوان تونل کالینت قصد انجام عملیات دارد‪ ،‬پروتکل ‪ Tunneling‬مورد نظر باید‬

‫‪25/10/1386‬‬
‫بر روی سیستم کالینت نصب گردد‪ .‬تونل اختیاری می تواند در هر یک از حالت های زیر اتفاق بیفتد‪:‬‬
‫‪ -‬کالینت ارتباطی داشته باشد که بتواند ارسال اطالعات پوشش گذاری شده را از طریق مسیریابی به‬
‫سرور منتخب خود انجام دهد‪.‬‬
‫‪ -‬کالینت ممکن است قبل از اینکه بتواندتونل را پیکربندی کند‪ ،‬ارتباطی را از طریق ‪ Dialup‬برای تبادل‬
‫اطالعات برقرار کرده باشد‪ .‬این معمول ترین حالت ممکن است‪ .‬بهترین مثال از این حالت‪ ،‬کاربران‬
‫اینترنت هستند‪ .‬قبل از اینکه یک تونل برای کاربران بر روی اینترنت ساخته شود‪ ،‬آن ها باید به ‪ISP‬‬
‫خود شماره گیری کنند و یک ارتباط اینترنتی را تشکیل دهند‪.‬‬
‫تونل اجباری‪:‬‬
‫تونل اجباری برای کاربرانی پیکربندی و ساخته می شود که دانش الزم را نداشته و یا دخالتی در‬
‫ساخت تونل نخواهند داشت‪ .‬در تونل اختیاری‪ ،‬کاربر‪ ،‬نقطه انتهایی تونل نیست‪ .‬بلکه یک ‪ Device‬دیگر‬
‫بین سیستم کاربر و تونل سرور‪ ،‬نقطه انتهایی تونل است که به عنوان تونل کالینت عمل می نماید‪ .‬اگر‬
‫پروتکل ‪ Tunneling‬بر روی کامپیوتر کالینت نصب و راه اندازی نشده و در عین حال تونل هنوز مورد‬
‫نیاز و درخواست باشد‪ .‬این امکان وجود دارد که یک کامپیوتر دیگر و یا یک ‪ Device‬شبکه دیگر‪،‬‬
‫تونلی از جانب کامپیوتر کالینت ایجاد نماید‪ .‬این وظیفه ای است که به یک متمرکز کننده دسترسی (‪)AS‬‬
‫به تونل‪ ،‬ارجاع داده شده است‪ .‬در مرخله تکمیل این وظیفه‪ ،‬متمرکز کننده دسترسی یا همان ‪ AS‬باید‬
‫پروتکل ‪ Tunneling‬مناسب را ایجاد کرده و قابلیت برقراری تونل را در هنگام اتصال کامپیوتر کالینت‬
‫داشته باشد‪ .‬هنگامی که ارتباط از طریق اینترنت برقرار می شود‪ ،‬کامپیوتر کالینت یک تونل تامین شده (‬
‫‪ NAS )Network Access Service‬را از طریق ‪ ISP‬احضار می کند‪ .‬به عنوان مثال یک سازمان‬
‫ممکن است قراردادی با یک ‪ ISP‬داشته باشد تا بتواند کل کشور را توسط یک متمرکز کننده دسترسی به‬
‫هم پیوند دهد‪ .‬این ‪ AC‬می تواند تونل هایی را از طریق اینترنت برقرار کند که به یک تونل سرور متصل‬
‫باشند و از آن طریق به شبکه خصوصی مستقر در سازمان مذکور دسترسی پیدا کنند‪ .‬این پیکربندی به‬
‫عنوان تونل اجباری شناخته می شود‪ ،‬به دلیل این که کالینت مجبور به استفاده از تونل ساخته شده به‬
‫وسیله ‪ AC‬شده است‪ .‬یک بار که این تونل ساخته شد‪ ،‬تمام ترافیک شبکه از سمت کالینتو نیز از جانب‬
‫سرور به صورت خودکار از طریق تونل مذکور ارسال خواهد شد‪ .‬به وسیله این تونل اجباری‪ ،‬کامپیوتر‬
‫کالینت یک ارتباط ‪ PPP‬می سازد و هنگامی که کالینت به ‪ ،NAS‬از طریق شماره گیری متصل می‬
‫شود‪ ،‬تونل ساخته می شود و تمام ترافیک به طور خودکار از طریق تونل مسیریابی و ارسال می گردد‪.‬‬
‫تونل اجباری می تواند به طور ایستا و یا خودکار و پویا پیکربندی شود‪.‬‬
‫تونل های اجباری ایستا يا ‪)Static(:‬‬
‫پیکربندی تونل های ‪ Static‬معموال به تجهیزات خاص برای تونل های خودکار نیاز دارند‪ .‬سیستم‬
‫‪ Tunneling‬خودکار به گونه ای اعمال می شودکه کالینت ها به ‪ AC‬از طریق شماره گیری (‪)Dialup‬‬
‫متصل می شوند‪ .‬این مسئله احتیاج به خطوط دسترسی محلی اختصاصی و نیز تجهیزات دسترسی شبکه‬
‫دارد که به این ها هزینه های جانبی نیز اضافه می گردد‪ .‬برای مثال کاربران احتیاج دارند که با یک‬
‫شماره تلفن خاص تماس بگیرند‪ ،‬تا به یک ‪ AC‬متصل شوند که تمام ارتباطات را به طور خودکار به یک‬
‫تونل سرور خاص متصل می کند‪ .‬در طرح های ‪ Tunneling‬ناحیه ای‪ ،‬متمرکز کننده دسترسی بخشی‬
‫از ‪ User Name‬را که ‪ Realm‬خوانده می شود بازرسی می کند تا تصمیم بگیرد در چه موقعیتی از‬
‫لحاظ ترافیک شبکه‪ ،‬تونل را تشکیل دهد‪.‬‬
‫تونل های اجباری پویا يا (‪: )Dynamic‬‬
‫در این سیستم انتخاب مقصد تونل بر اساس زمانی که کاربر به ‪ AC‬متصل می شود‪ ،‬ساخته می‬
‫شود‪ .‬کاربران دارای ‪ Realm‬یکسان‪ ،‬ممکن است تونل هایی با مقصد های مختلف تشکیل بدهند‪ .‬البته این‬
‫امر به پارامترهای مختلف آنها مانند ‪ ،User Name‬شماره تماسف محل فیزیکی و زمان بستگی دارد‪.‬‬

‫‪25/10/1386‬‬
‫تونل های ‪ ،Dynamic‬دارای قابلیت انعطاف عالی هستند‪ .‬همچنین تونل های پویااجازه می دهند که ‪AC‬‬
‫به عنوان یک سیستم ‪ Multi-NAS‬عمل کند‪ ،‬یعنی اینکه همزمان هم ارتباطات ‪ Tunneling‬را قبول می‬
‫کند و هم ارتباطات کالینت های عادی و بدون تونل را‪ .‬در صورتی که متمرکز کننده دسترسی بخواهد‬
‫نوع کالینت تماس گسرنده را مبنی بر دارای تونل بودن یا نبودن از قبل تشخیص بدهد‪ ،‬باید از همکاری‬
‫یک بانک اطالعاتی سود ببرد‪ .‬برای این کار باید ‪ AC‬اطالعات کاربران را در بانک اطالعاتی خود‬
‫ذخیره کند که بزرگترین عیب این مسئله این است که این بانک اطالعاتی به خوبی قابل مدیریت نیست‪.‬‬
‫بهترین راه حل این موضوع‪ ،‬راه اندازی یک سرور ‪ RADIUS‬است‪ ،‬سروری که اجازه می دهد که‬
‫تعداد نا محدودی سرور‪ ،‬عمل شناسایی ‪ USER‬های خود را بر روی یک سرور خاص یعنی همین‬
‫سرور ‪ RADIUS‬انجام دهند‪ ،‬به عبارت بهتر این سرور مرکزی برای ذخیره و شناسایی و احراز هویت‬
‫نمودن کلیه کاربران شبکه خواهد بود‪.‬‬
‫نگهداری تونل‪:‬‬
‫در برخی از تکنولوژی های ‪ Tunneling‬مانند ‪ L2TP‬و ‪ ،PPTP‬تونل ساخته شده باید نگهداری و‬
‫مراقبت شود‪ .‬هر دو انتهای تونل باید از وضعیت طرف دیگر تونل با خبر باشندو نگهداری یک تونل‬
‫معموال از طریق عملیاتی به نام نگهداری فعال (‪ )KA‬اجرا می گردد که طی این پروسه به صورت دوره‬
‫زمانی مداوم از انتهای دیگر تونل آمار گیری می شود‪ .‬این کار هنگامی که اطالعاتی در حال تبادل نیست‬
‫انجام می پذیرد‪.‬‬
‫مجموعه عملیات متشکل از پروتکل نگهداری تونل و پروتکل تبادل اطالعات تونل به نام پروتکل‬
‫‪ Tunneling‬شناخته می شوند‪ .‬برای اینکه این تونل برقرار شود‪ ،‬هم کالینت و هم سرور می بایست‬
‫پروتکل ‪ Tunneling‬یکسانی را مورد استفاده قرار دهند‪ .‬از جمله پروتکل هایی که برای عملیات‬
‫‪ Tunneling‬مورد استفاده قرار می گیرند ‪ PPTP‬و ‪ L2TP‬هستند که در ادامه مورد بررسی قرار‬
‫خواهند گرفت‪.‬‬
‫پروتکل نگهداری تونل‪:‬‬

‫پروتکل نگهداری تونل به عنوان مکانیسمی برای مدیریت تونل استفاده می شود‪ .‬برای برخی از‬
‫تکنولوژی های ‪ Tunneling‬مانند ‪ PPTP‬و ‪ L2TP‬یک تونل مانند یک ‪ Session‬می باشد‪ ،‬یعنی هر دو‬
‫نقطه انتهایی تونل عالوه بر اینکه باید با نوع تونل منطبق باشند‪ ،‬می بایست از برقرار شدن آن نیز مطلع‬
‫شوند‪ .‬هر چند بر خالف یک ‪ ،Session‬یک تونل ذریافت اطالعات را به صورتی قابل اطمینان گارانتی‬
‫نمی کند و اطالعات ارسالی معموال به وسیله پروتکلی بر مبنای دیتا گرام مانند ‪ UDP‬هنگام استفاده از‬
‫‪ L2TP‬یا ‪ TCP‬برای مدیریت تونل و یک پروتکل کپسوله کردن مسیر یابی عمومی اصالح شده به نام‬
‫‪ GRE‬برای وقتی که ‪ PPTP‬استفاده می گردد‪ ،‬پیکربندی و ارسال می شوند‪.‬‬
‫پروتکل تبادل اطالعات تونل‪:‬‬

‫زمانی که یک تونل برقرار می شود‪ ،‬اطالعات می توانند از طریق آن ارسال گردند‪ .‬پروتکل تبادل‬
‫اطالعات تونل‪ ،‬اطالعات را کپسوله کرده تا قابل عبور از تونل باشند‪ .‬وقتی که تونل کالینت قصد ارسال‬
‫اطالعات را به تونل سرور دارد‪ ،‬یک سرایند (مخصوص پروتکل تبادل اطالعات) را بر روی پکت‬
‫اضافه می کند‪ .‬نتیجه این کار این است که اطالعات از طریق شبکه عمومی‪ e‬قابل ارسال شده و تا تونل‬
‫سرور مسیریابی می شوند‪ .‬تونل سرور پکت ها را دریافت کرده و سرایند اضافه شده را از روی‬
‫اطالعات برداشته و سپس اطالعات را به صورت اصلی در می آورد‪.‬‬

‫‪25/10/1386‬‬
‫عناصر تشکيل دهنده يک‪VPN :‬‬

‫دو نوع عمده شبکه های ‪ VPN‬وجود دارد ‪:‬‬
‫● دستيابی از راه دور(‪:)Remote-Access‬‬

‫به اين نوع از شبکه ها )‪ ،VPDN(Virtual private dial-up network‬نيز گفته می شود‪.‬در‬
‫شبکه های فوق از مدل ارتباطی ‪ ) User-To-LAN‬ارتباط کاربر به يک شبکه محلی ) استفاده می‬
‫گردد‪ .‬سازمانهائی که از مدل فوق استفاده می نمايند ‪ ،‬بدنبال ايجاد تسهيالت الزم برای ارتباط پرسنل‬
‫( عموما" کاربران از راه دور و در هر مکانی می توانند حضور داشته باشند ) به شبکه سازمان می‬
‫باشند‪ .‬سازمانهائی که تمايل به برپاسازی يک شبکه بزرگ " دستيابی از راه دور" می باشند ‪ ،‬می بايست‬
‫از امکانات يک مرکز ارائه دهنده خدمات اينترنت جهانی )‪ESP(Enterprise service provider‬‬
‫استفاده نمايند‪ .‬سرويس دهنده ‪ ، ESP‬بمنظور نصب و پيکربندی‪VPN NAS(Network access‬‬
‫)‪server‬را پيکربندی و نرم افزاری را در اختيار کاربران از راه دور بمنظور ارتباط با سايت قرار‬
‫خواهد داد‪ .‬کاربران در ادامه با برقراری ارتباط قادر به دستيابی به ‪ NAS‬و استفاده از نرم افزار‬
‫مربوطه بمنظور دستيابی به شبکه سازمان خود خواهند بود‪.‬‬
‫● سايت به سايت (‪ .)Site-to-Site‬در مدل فوق يک سازمان با توجه به سياست های موجود ‪،‬‬
‫قادر به اتصال چندين سايت ثابت از طريق يک شبکه عمومی نظير اينترنت است ‪ .‬شبکه های ‪ VPN‬که‬
‫از روش فوق استفاده می نمايند ‪ ،‬دارای گونه های خاصی در اين زمينه می باشند‪:‬‬
‫▪ مبتنی بر اينترانت ‪ .‬در صورتيکه سازمانی دارای يک و يا بيش از يک محل ( راه دور) بوده و تمايل‬
‫به الحاق آنها در يک شبکه اختصاصی باشد ‪ ،‬می توان يک اينترانت ‪ VPN‬را بمنظور برقرای ارتباط‬
‫هر يک از شبکه های محلی با يکديگر ايجاد نمود‪.‬‬
‫▪ مبتنی بر اکسترانت‪ .‬در موارديکه سازمانی در تعامل اطالعاتی بسيار نزديک با سازمان ديگر باشد ‪،‬‬
‫می توان يک اکسترانت ‪ VPN‬را بمنظور ارتباط شبکه های محلی هر يک از سازمانها ايجاد کرد‪ .‬در‬
‫چنين حالتی سازمانهای متعدد قادر به فعاليت در يک محيط اشتراکی خواهند بود‪.‬‬
‫استفاده از ‪ VPN‬برای يک سازمان دارای مزايای متعددی نظير ‪ :‬گسترش محدوه جغرافيائی‬
‫ارتباطی ‪ ،‬بهبود وضعيت امنيت ‪ ،‬کاهش هزينه های عملياتی در مقايسه با روش های سنتی ‪، WAN‬‬
‫کاهش زمان ارسال و حمل اطالعات برای کاربران از راه دور ‪ ،‬بهبود بهره وری ‪ ،‬توپولوژی آسان ‪...،‬‬
‫است ‪ .‬در يکه شبکه ‪ VPN‬به عوامل متفاوتی نظير ‪ :‬امنيت ‪ ،‬اعتمادپذيری ‪ ،‬مديريت شبکه و سياست ها‬
‫نياز خواهد بود‪.‬‬
‫شبکه های ‪ LAN‬جزاير اطالعاتی‪:‬‬

‫فرض نمائيد در جزيره ای در اقيانوسی بزرگ ‪ ،‬زندگی می کنيد‪ .‬هزاران جزيره در اطراف جزيره شما‬
‫وجود دارد‪ .‬برخی از جزاير نزديک و برخی ديگر دارای مسافت طوالنی با جزيره شما می باشند‪.‬‬
‫متداولترين روش بمنظور مسافرت به جزيره ديگر ‪ ،‬استفاده از يک کشتی مسافربری است ‪ .‬مسافرت با‬
‫کشتی مسافربری ‪ ،‬بمنزله عدم وجود امنيت است ‪ .‬در اين راستا هر کاری را که شما انجام دهيد ‪ ،‬توسط‬
‫ساير مسافرين قابل مشاهده خواهد بود‪ .‬فرض کنيد هر يک از جزاير مورد نظر به مشابه يک شبکه محلی‬
‫(‪ )LAN‬و اقيانوس مانند اينترنت باشند‪ .‬مسافرت با يک کشتی مسافربری مشابه برقراری ارتباط با يک‬
‫سرويس دهنده وب و يا ساير دستگاههای موجود در اينترنت است ‪ .‬شما دارای هيچگونه کنترلی بر روی‬
‫کابل ها و روترهای موجود در اينترنت نمی باشيد‪ ( .‬مشابه عدم کنترل شما بعنوان مسافر کشتی‬
‫مسافربری بر روی ساير مسافرين حاضر در کشتی ) ‪.‬در صورتيکه تمايل به ارتباط بين دو شبکه‬
‫اختصاصی از طريق منابع عمومی وجود داشته باشد ‪ ،‬اولين مسئله ای که با چالش های جدی برخورد‬

‫‪25/10/1386‬‬
‫خواهد کرد ‪ ،‬امنيت خواهد بود‪ .‬فرض کنيد ‪ ،‬جزيره شما قصد ايجاد يک پل ارتباطی با جزيره مورد نظر‬
‫را داشته باشد ‪.‬مسير ايجاد شده يک روش ايمن ‪ ،‬ساده و مستقيم برای مسافرت ساکنين جزيره شما به‬
‫جزيره ديگر را فراهم می آورد‪ .‬همانطور که حدس زده ايد ‪ ،‬ايجاد و نگهداری يک پل ارتباطی بين دو‬
‫جزيره مستلزم صرف هزينه های باالئی خواهد بود‪ (.‬حتی اگر جزاير در مجاورت يکديگر باشند ) ‪ .‬با‬
‫توجه به ضرورت و حساسيت مربوط به داشتن يک مسير ايمن و مطمئن ‪ ،‬تصميم به ايجاد پل ارتباطی‬
‫بين دو جزيره گرفته شده است ‪ .‬در صورتيکه جزيره شما قصد ايجاد يک پل ارتباطی با جزيره ديگر را‬
‫داشته باشد که در مسافت بسيار طوالنی نسبت به جزيره شما واقع است ‪ ،‬هزينه های مربوط بمراتب‬
‫بيشتر خواهد بود‪ .‬وضعيت فوق ‪ ،‬نظير استفاده از يک اختصاصی ‪ Leased‬است ‪ .‬ماهيت پل های‬
‫ارتباطی ( خطوط اختصاصی ) از اقيانوس ( اينترنت ) متفاوت بوده و کماکن قادر به ارتباط جزايرشبکه‬
‫های( ‪ )LAN‬خواهند بود‪ .‬سازمانها و موسسات متعددی از رويکرد فوق ( استفاده از خطوط اختصاصی)‬
‫استفاده می نمايند‪ .‬مهمترين عامل در اين زمينه وجود امنيت و اطمينان برای برقراری ارتباط هر يک‬
‫سازمانهای مورد نظر با يکديگر است ‪ .‬در صورتيکه مسافت ادارات و يا شعب يک سازمان از يکديگر‬
‫بسيار دور باشد ‪ ،‬هزينه مربوط به برقرای ارتباط نيز افزايش خواهد يافت ‪.‬‬
‫با توجه به موارد گفته شده ‪ ،‬چه ضرورتی بمنظور استفاده از ‪ VPN‬وجود داشته و ‪ VPN‬تامين‬
‫کننده ‪ ،‬کداميک از اهداف و خواسته های مورد نظر است ؟ با توجه به مقايسه انجام شده در مثال فرضی ‪،‬‬
‫می توان گفت که با استفاده از ‪ VPN‬به هريک از ساکنين جزيره يک زيردريائی داده می شود‪.‬‬
‫زيردريائی فوق دارای خصايص متفاوت نظير‪:‬‬
‫دارای سرعت باال است‪.‬‬
‫هدايت آن ساده است ‪.‬‬
‫قادر به استتار( مخفی نمودن) شما از سايرزيردريا ئيها و کشتی ها است ‪.‬‬
‫قابل اعتماد است ‪.‬‬
‫پس از تامين اولين زيردريائی ‪ ،‬افزودن امکانات جانبی و حتی يک زيردريائی ديگرمقرون به صرفه‬
‫خواهد بود‪.‬‬
‫در مدل فوق ‪ ،‬با وجود ترافيک در اقيانوس ‪ ،‬هر يک از ساکنين دو جزيره قادر به تردد در طول‬
‫مسير در زمان دلخواه خود با رعايت مسايل ايمنی می باشند‪ .‬مثال فوق دقيقا" بيانگر تحوه عملکرد ‪VPN‬‬
‫است ‪ .‬هر يک از کاربران از راه دور شبکه قادربه برقراری ارتباطی امن و مطمئن با استفاده از يک‬
‫محيط انتقال عمومی‪ ( e‬نظير اينترنت( با شبکه محلی (‪ )LAN‬موجود در سازمان خود خواهند بود‪.‬‬
‫توسعه يک ‪ VPN‬افزايش تعداد کاربران از راه دور و يا افزايش مکان های مورد نظر بمراتب آسانتر از‬
‫شبکه هائی است که از خطوط اختصاصی استفاده می نمايند‪ .‬قابليت توسعه فراگير از مهمتزين ويژگی‬
‫های يک ‪ VPN‬نسبت به خطوط اختصاصی است ‪.‬‬
‫اصـــــول‪VPN :‬‬
‫برقرار كردن امنيت براي يك شبكه درون يك ساختمان كار ساده اي است ‪ .‬اما هنگامي كه‬
‫بخواهيم از نقاط دور رو ي ‪ Data‬هاي مشترك كار كنيم ايمني به مشكل بزرگي تبديل مي شود ‪ .‬در اين‬
‫بخش به اصول و ساختمان يك ‪ VPN‬براي سرويس گيرنده هاي ويندوز و لينوكس مي پردازيم ‪.‬‬
‫فرستادن حجم زيادي از ‪ Data‬از يك كامپيوتر به كامپيوتر ديگر مثال” در به هنگام رساني بانك‬
‫اطالعاتي يك مشكل شناخته شده و قديمي است ‪ .‬انجام اين كار از طريق ‪ Email‬به دليل محدوديت‬
‫گنجايش سرويس دهنده ‪ Mail‬نشدني است ‪.‬‬
‫استفاده از ‪ FTP‬هم به سرويس دهنده مربوطه و همچنين ذخيره سازي موقت روي فضاي اينترنت نياز‬
‫دارد كه اصال” قابل اطمينان نيست ‪.‬‬

‫‪25/10/1386‬‬
‫يكي از راه حل هاي اتصال مستقيم به كامپيوتر مقصد به كمك مودم است كه در اينجا هم عالوه‬
‫بر مودم ‪ ،‬پيكر بندي كامپيوتر به عنوان سرويس دهنده ‪ RAS‬الزم خواهد بود ‪ .‬از اين گذشته ‪ ،‬هزينه‬
‫ارتباط تلفني راه دور براي مودم هم قابل تامل است ‪ .‬اما اگر دو كامپيوتر در دو جاي مختلف به اينترنت‬
‫متصل باشند مي توان از طريق سرويس به اشتراك گذاري فايل در ويندوز بسادگي فايل ها را رد و بدل‬
‫كرد ‪ .‬در اين حالت ‪ ،‬كاربران مي توانند به سخت ديسك كامپيوترهاي ديگر همچون سخت ديسك كامپيوتر‬
‫خود دسترسي داشته باشند ‪ .‬به اين ترتيب بسياري از راه هاي خرابكاري براي نفوذ كنندگان بسته مي‬
‫شود‪.‬‬
‫شبكه هاي شخصي مجاري يا ) ‪ VPN ( Virtual private Network‬ها اينگونه مشكالت را‬
‫حل مي كند ‪ VPN .‬به كمك رمز گذاري روي ‪ Data‬ها ‪ ،‬درون يك شبكه كوچك مي سازد و تنها كسي كه‬
‫آدرس هاي الزم و رمز عبور را در اختيار داشته باشد مي تواند به اين شبكه وارد شود‪ .‬مديران شبكه اي‬
‫كه بيش از اندازه وسواس داشته و محتاط هستند مي توانند ‪ VPN‬را حتي روي شبكه محلي هم پياده كنند ‪.‬‬
‫اگر چه نفوذ كنندگان مي توانند به كمك برنامه هاي ‪ Packet sniffer‬جريان ‪ Data‬ها را دنبال كنند اما‬
‫بدون داشتن كليد رمز نمي توانند آنها را بخوانند ‪.‬‬
‫پروتکل های )‪VPN (Virtual Private Network‬‬

‫عمده ترین پروتکل هایی که به وسیله ویندوز ‪ 2000‬برای دسترسی به ‪ VPN‬استفاده می شوند‬
‫عبارتند از‪.PPTP، L2TP، IPSEC، IP-IP :‬‬
‫البته پروتکل امنیتی ‪ SSL‬نیز جزء پروتکل های مورد استفاده در ‪ VPN‬به شمار می آید‪ ،‬ولی به علت‬
‫اینکه ‪ SSL‬بیشتر بر روی پروتکل های ‪ HTTP، LDAP، POP3، SMTP‬و‪ ...‬مورد استفاده قرار می‬
‫گیرد‪ ،‬بحث در مورد آن را به فرصتی دیگر موکول می کنیم‪.‬‬
‫پــروتـکــــل ‪PPTP:‬‬
‫پروتکل ‪ Tunneling‬نقطه به نقطه‪ ،‬بخش توسعه یافته ای از پروتکل ‪ PPP‬است که فریم های‬
‫پروتکل ‪ PPP‬را به صورت ‪ IP‬برای تبادل آنها از طریق یک شبکه ‪ IP‬مانند اینترنت توسط یک سرایند‪،‬‬
‫کپسوله می کند‪ .‬این پروتکل می تواند در شبکه های خصوصی از نوع ‪ LAN-to-LAN‬نیز استفاده‬
‫گردد‪.‬‬
‫پروتکل ‪ PPTP‬به وسیله انجمنی از شرکت های مایکروسافت‪Ascend Communications، ،‬‬
‫‪ 3com، ESI‬و ‪ US Robotics‬ساخته شد‪ PPTP .‬یک ارتباط ‪TCP‬را (که یک ارتباط ‪Connection‬‬
‫‪ Oriented‬بوده و پس از ارسال پکت منتظر ‪ Acknowledgment‬آن می ماند) برای نگهداری تونل و‬
‫فریم های ‪ PPP‬کپسوله شده توسط (‪ GRE )Generic Routing Encapsulation‬که به معنی کپسوله‬
‫کردن مسیریابی عمومی‪ e‬است‪ ،‬برای ‪ Tunneling‬کردن اطالعات استفاده می کند‪ .‬ضمنا اطالعات‬
‫کپسوله شده ‪ PPP‬قابلیت رمز نگاری و فشرده شدن را نیز دارا هستند‪.‬‬
‫پــروتـکـــل ‪L2TP:‬‬
‫پروتکل ‪ L2TP‬ترکیبی است از پروتکل های ‪ PPTP‬و (‪ L2F )Layer 2 Forwarding‬که توسط‬
‫شرکت سیسکو توسعه یافته است‪ .‬این پروتکل ترکیبی است از بهترین خصوصیات موجود در ‪ L2F‬و ‪.‬‬
‫‪PPTP‬‬
‫نوعی پروتکل شبکه است که فریم های ‪ PPP‬را برای ارسال بر روی شبکه های ‪ IP‬مانند‬ ‫‪L2TP‬‬
‫اینترنت و عالوه بر این برای شبکه های مبتنی بر ‪ X.25، Frame Relay‬و یا ‪ ATM‬کپسوله می کند‪.‬‬
‫هنگامی که اینترنت به عنوان زیر ساخت تبادل اطالعات استفاده می گردد‪ L2TP ،‬می تواند به عنوان‬
‫پروتکل ‪ Tunneling‬از طریق اینترنت مورد استفاده قرار گیرد‪.‬‬

‫‪25/10/1386‬‬
‫برای نگهداری تونل از یک سری پیغام های ‪ L2TP‬و نیز از پروتکل ‪ UDP‬پروتکل تبادل‬ ‫‪L2TP‬‬
‫اطالعات به صورت ‪ Connection Less‬که پس از ارسال اطالعات منتظر دریافت‬
‫‪ Acknowledgment‬نمی شود و اطالعات را‪ ،‬به مقصد رسیده فرض می کند استفاده می کند‪ .‬در‬
‫‪ L2TP‬نیز فریم های ‪ PPP‬کپسوله شده می توانند همزمان عالوه بر رمزنگاری شدن‪ ،‬فشرده نیز شوند‪.‬‬
‫البته مایکروسافت پروتکل امنیتی ‪ Ipsec‬را به جای رمزنگاری ‪ PPP‬توصیه می کند‪ .‬ساخت تونل‬
‫‪ L2TP‬نیز باید همانند ‪ PPTP‬توسط مکانیزم ‪ PPP EAP، CHAP، MS-CHAP، PAP‬بررسی و‬
‫تایید شود‪.‬‬
‫پــروتـکــل ‪Ipsec:‬‬
‫یک پروتکل ‪ Tunneling‬الیه سوم است که از متد ‪ ESP‬برای کپسوله کردن و رمزنگاری اطالعات‬ ‫‪Ipsec‬‬
‫‪ IP‬برای تبادل امن اطالعات از طریق یک شبکه کاری ‪ IP‬عمومی یا خصوصی پشتیبانی می کند‬
‫به وسیله متد ‪ ESP‬می تواند اطالعات ‪ IP‬را به صورت کامل کپسوله کرده و نیز رمزنگاری کند‪ .‬به‬ ‫‪Ipsec .‬‬
‫محض دریافت اطالعات رمزگذاری شده‪ ،‬تونل سرور‪ ،‬سرایند اضافه شده به ‪ IP‬را پردازش کرده و سپس کنار‬
‫می گذارد و بعد از آن رمزهای ‪ ESP‬و پکت را باز می کند‪ .‬بعد از این مراحل است که پکت ‪ IP‬به صورت عادی‬
‫پردازش می شود‪ .‬پردازش عادی ممکن است شامل مسیریابی و ارسال پکت به مقصد نهایی آن باشد‪.‬‬
‫پـروتـکــل ‪IP-IP:‬‬
‫این پروتکل که با نام ‪ IP-IN-IP‬نیز شناخته می شود‪ ،‬یک پروتکل الیه سوم یعنی الیه شبکه است‪.‬‬
‫مهمترین استفاده پروتکل ‪ IP-IP‬برای ایجاد سیستم ‪ Tunneling‬به صورت ‪ Multicast‬است که در شبکه هایی‬
‫که سیستم مسیریابی ‪ Multicast‬را پشتیبانی نمی کنند‪ e‬کاربرد دارد‪ .‬ساختار پکت ‪IP-IP‬تشکیل شده است از‪:‬‬
‫سرایند ‪IP‬خارجی‪ ،‬سرایند تونل‪ ،‬سرایند‪ IP e‬داخلی و اطالعات ‪ .IP‬اطالعات ‪ IP‬می تواند شامل هر چیزی در‬
‫محدوده ‪ IP‬مانند ‪ TCP، UDP، ICMP‬و اطالعات اصلی پکت باشد‪.‬‬
‫فرق سرویس های ‪ L2TP‬و ‪ PPTP‬در چیست؟‬

‫پروتکل ‪ L2TP‬ترکیبی است از پروتکل های ‪ PPTP‬و)‪ L2F (Layer 2 Forwarding‬که‬
‫توسط شرکت سیسکو توسعه یافته است‪ .‬این پروتکل ترکیبی است از بهترین خصوصیات موجود در‪LT2‬‬
‫و ‪.PPTP‬‬
‫‪ L2TP‬نوعی پروتکل شبکه است که فریم های ‪ PPP‬را برای ارسال بر روی شبکه های ‪IP‬‬
‫مانند اینترنت و عالوه بر این برای شبکه های مبتنی بر ‪ X.25، Frame Relay‬و یا ‪ ATM‬کپسوله می‬
‫کند‪ .‬هنگامی که اینترنت به عنوان زیر ساخت تبادل اطالعات استفاده می گردد‪ L2TP ،‬می تواند به‬
‫عنوان پروتکل ‪ Tunneling‬از طریق اینترنت مورد استفاده قرار گیرد‪.‬‬
‫‪ L2TP‬برای نگهداری تونل از یک سری پیغام های ‪ L2TP‬و نیز از پروتکل ‪UDP‬پروتکل تبادل‬
‫اطالعات به صورت ‪ Connectionless‬که پس از ارسال اطالعات منتظر دریافت‬
‫‪ Acknowledgment‬نمی شود و اطالعات را‪ ،‬به مقصد رسیده فرض می کند استفاده می کند‪ .‬در‬
‫‪ L2TP‬نیز فریم های ‪ PPP‬کپسوله شده می توانند همزمان عالوه بر رمزنگاری شدن‪ ،‬فشرده نیز شوند‪.‬‬
‫البته مایکروسافت پروتکل امنیتی ‪ Ipsec‬را به جای رمزنگاری ‪ PPP‬توصیه می کند‪.‬‬

‫‪25/10/1386‬‬
‫پروتكل هاي درون تونل‪:‬‬

‫‪ Tunneling‬را مي توان روي دو اليه از اليه هاي ‪ OSI‬پياده كرد‪ PPTP .‬و ‪ L2TP‬از اليه ‪2‬‬
‫يعني پيوند ‪ Data‬استفاده كرده و ‪ Data‬ها را در قالب ‪ Frame‬هاي پروتكل نقطه به نقطه (‪ )PPP‬بسته‬
‫بندي مي كنند‪ .‬در اين حالت مي توان از ويژگي هاي ‪ PPP‬همچون تعيين اعتبار كاربر ‪ ،‬تخصيص آدرس‬
‫پويا مانند ( ‪ ) DHCP‬فشرده سازي ‪ Data‬ها يا رمز گذاري ‪ Data‬ها بهره برد‪.‬‬
‫با توجه به اهميت ايمني انتقال ‪ Data‬ها در‪ ، VPN‬دراين ميان تعيين اعتبار كاربر نقش بسيار مهمي‪ e‬دارد‬
‫‪ .‬براي اين كار معموال” از ‪ CHAP‬استفاده مي شود كه مشخصات كاربر را در اين حالت رمز گذاري‬
‫شده جابه جا ميكند‪ Call back.‬هم دسترسي به سطح بعدي ايمني را ممكن مي سازد‪ .‬در اين روش پس از‬
‫تعيين اعتبار موفقيت آميز ‪ ،‬ارتباط قطع مي شود ‪ .‬سپس سرويس دهنده براي برقرار كردن ارتباط جهت‬
‫انتقال ‪ Data‬ها شماره گيري مي كند ‪ .‬هنگام انتقال ‪ Data‬ها ‪ Packet ،‬هاي ‪ IP ، IP X‬يا ‪NetBEUI‬‬
‫در قالب ‪ Frame‬هاي ‪ PPP‬بسته بندي شده و فرستاده مي شوند‪ PPTP.‬هم ‪ Frame‬هاي ‪ PPP‬را پيش از‬
‫ارسال روي شبكه بر پايه ‪ IP‬به سوي كامپيوتر مقصد ‪ ،‬در قالب ‪ Packet‬هاي ‪ IP‬بسته بندي مي كند‪ .‬اين‬
‫پروتكل در سال ‪ 1996‬از سوي شركت هايي چون مايكرو سافت ‪ Ascend ، 3 com ،‬و ‪Robotics‬‬
‫‪ US‬پايه گذاري شد ‪ .‬محدوديت ‪ PPTP‬در كار تنها روي شبكه هاي ‪ IP‬باعث ظهور ايده اي در سال‬
‫‪ 1998‬شد ‪ L2TP.‬روي ‪ X.25 ،Frame Relay‬يا ‪ ATM‬هم كار مي كند ‪ .‬برتري ‪ L2TP‬در برابر‬
‫‪PPTP‬اين است كه به طور مستقيم روي رسانه هاي گوناگون ‪ WAN‬قابل انتقال است ‪.‬‬
‫‪ VPN-Ipsec‬فقط براي اينترنت‬

‫‪ Ipsec‬برخالف ‪ PPTP‬و ‪ L2TP‬روي اليه شبكه يعني اليه سوم كار مي كند‪ .‬اين پروتكل ‪Data‬‬
‫هايي كه بايد فرستاده شود را همراه با همه اطالعات جانبي مانند گيرنده و پيغام هاي وضعيت رمز گذاري‬
‫كرده و به آن يك ‪ IP Header‬معمولي‪ e‬اضافه كرده و به آن سوي تونل مي فرستد ‪.‬‬
‫كامپيوتري كه در آن سو قرار دارد ‪ IP Header‬را جدا كرده ‪ Data ،‬ها را رمز گشايي كرده و‬
‫آن را به كامپيوتر مقصد مي فرستد ‪ Ipsec.‬را مي توان با دو شيوه ‪ Tunneling‬پيكر بندي كرد ‪ .‬در اين‬
‫شيوه انتخاب اختياري تونل ‪ ،‬سرويس گيرنده نخست يك ارتباط معمولي‪ e‬با اينترنت برقرار مي كند و سپس‬
‫از اين مسير براي ايجاد اتصال مجازي به كامپيوتر مقصد استفاده مي كند ‪ .‬براي اين منظور ‪ ،‬بايد روي‬
‫كامپيوتر سرويس گيرنده پروتكل تونل نصب شده باشد ‪ .‬معموال” كاربر اينترنت است كه به اينترنت‬
‫وصل مي شود ‪ .‬اما كامپيوترهاي درون ‪ LAN‬هم مي توانند يك ارتباط ‪ VPN‬برقرا كنند ‪ .‬از آنجا كه‬
‫ارتباط ‪ IP‬از پيش موجود است تنها برقرار كردن ارتباط ‪ VPN‬كافي است ‪ .‬در شيوه تونل اجباري ‪،‬‬
‫سرويس گيرنده نبايد تونل را ايجاد كند بلكه اين كار ار به عهده فراهم ساز (‪ ) Service provider‬است ‪.‬‬
‫سرويس گيرنده تنها بايد به ‪ ISP‬وصل شود ‪ .‬تونل به طور خودكار از فراهم ساز تا ايستگاه مقصد وجود‬
‫دارد ‪ .‬البته براي اين كار بايد همانگي هاي الزم با ‪ ISP‬انجام بگيرد‪.‬‬
‫ويژگي هاي امنيتي در ‪IPsec:‬‬

‫‪ Ipsec‬از طريق (‪ Authentication Header )AH‬مطمئن مي شود كه ‪ Packet‬هاي دريافتي‬
‫از سوي فرستنده واقعي (و نه از سوي يك نفوذ كننده كه قصد رخنه دارد) رسيده و محتويات شان تغيير‬
‫نكرده‪ AH .‬اطالعات مربوط به تعيين اعتبار و يك شماره توالي (‪ )Sequence Number‬در خود دارد‬
‫تا از حمالت ‪ Replay‬جلوگيري كند‪ .‬اما ‪ AH‬رمز گذاري نمي شود ‪ .‬رمز گذاري از طريق‬
‫‪ Encapsulation Security Header‬يا ‪ ESH‬انجام مي گيرد ‪ .‬در اين شيوه ‪ Data‬هاي اصلي رمز‬
‫گذاري شده و ‪ VPN‬اطالعاتي را از طريق ‪ ESH‬ارسال مي كند ‪.‬‬

‫‪25/10/1386‬‬
‫‪ ESH‬همچنين كاركرد هايي براي تعيين اعتبار و خطايابي دارد‪ .‬به اين ترتيب ديگر به ‪ AH‬نيازي‬
‫نيست ‪ .‬براي رمز گذاري و تعيين اعتبار روش مشخص و ثابتي وجود ندارد اما با اين همه‪ IETF ،‬براي‬
‫حفظ سازگاري ميان محصوالت مختلف‪ ،‬الگوريتم هاي اجباري براي پياده سازي ‪ Ipsec‬تدارك ديده‪.‬‬
‫براي نمونه مي توان به ‪ MD5 ، DES‬يا ‪ Secure Hash Algorithm‬اشاره كرد‪ .‬مهمترين‬
‫استانداردها و روش هايي كه در ‪ Ipsec‬به كار مي روند عبارتند از ‪:‬‬
‫‪ •Diffie-Hellman‬براي مبادله كليد ها ميان ايستگاه هاي دو سر ارتباط‪.‬‬
‫• رمز گذاري ‪ Public Key‬براي ثبت و اطمينان از كليدهاي مبادله شده و همچنين اطمينان از‬
‫هويت ايستگاه هاي سهيم در ارتباط‪.‬‬
‫• الگوريتم هاي رمز گذاري مانند ‪ DES‬براي اطمينان از درستي ‪ Data‬هاي انتقالي‪.‬‬
‫• الگوريتم هاي درهم ريزي (‪ )Hash‬براي تعيين اعتبار تك تك ‪ Packet‬ها‪.‬‬
‫• امضاهاي ديجيتال براي تعيين اعتبارهاي ديجيتالي‪.‬‬
‫‪ Ipsec‬بدون تونل‪:‬‬
‫‪ Ipsec‬در مقايسه با ديگر روش ها يك برتري ديگر هم دارد و آن اينست كه مي تواند همچون‬
‫يك پروتكل انتقال معمولي به كار برود‪.‬‬
‫در اين حالت برخالف حالت ‪ Tunneling‬همه ‪ IP packet‬رمز گذاري و دوباره بسته بندي‬
‫نمي شود ‪ .‬بجاي آن ‪ ،‬تنها ‪ Data‬هاي اصلي رمزگذاري مي شوند و ‪ Header‬همراه با آدرس هاي‬
‫فرستنده و گيرنده باقي مي ماند ‪ .‬اين باعث مي شود كه ‪ Data‬هاي سرباز ( ‪ ) Overhead‬كمتري جابجا‬
‫شوند و بخشي از پهناي باند آزاد شود ‪ .‬اما روشن است كه در اين وضعيت ‪ ،‬خرابكاران مي توانند به مبدا‬
‫و مقصد ‪ Data‬ها پي ببرند ‪ .‬از آنجا كه در مدل‪ Data ,OSI‬ها از اليه ‪ 3‬به باال رمز گذاري مي شوند‬
‫خرابكاران متوجه نمي شوند كه اين ‪ Data‬ها به ارتباط با سرويس دهنده ‪ Mail‬مربوط مي شود يا به چيز‬
‫ديگر ‪.‬‬
‫جريان يك ارتباط ‪Ipsec:‬‬

‫بيش از آن كه دو كامپيوتر بتوانند از طريق‪Ipsec Data ,‬ها را ميان خود جابجا كنند بايد يكسري‬
‫كارها انجام شود ‪.‬‬
‫• نخست بايد ايمني برقرار شود‪ .‬براي اين منظور ‪ ،‬كامپيوترها براي يكديگر مشخص مي كنند‬
‫كه آيا رمز گذاري ‪ ،‬تعيين اعتبار و تشخيص خطا يا هر سه آنها بايد انجام بگيرد يا نه ‪.‬‬
‫• سپس الگوريتم را مشخص مي كنند ‪ ،‬مثال” ‪ DEC‬براي رمزگذاري و ‪ MD5‬براي خطايابي‪.‬‬
‫در گام بعدي ‪ ،‬كليدها را ميان خود مبادله مي كنند‪.‬‬ ‫•‬
‫براي حفظ ايمني ارتباط از (‪ Security Association )SA‬استفاده مي كند‪SA .‬‬ ‫‪Ipsec‬‬
‫چگونگي ارتباط ميان دو يا چند ايستگاه و سرويس هاي ايمني را مشخص مي كند‪ SA .‬ها از سوي ‪SPI‬‬
‫)‪ (Security parameter Index‬شناسايي مي شوند‪ SPI .‬از يك عدد تصادفي و آدرس مقصد تشكيل مي‬
‫شود‪ .‬اين به آن معني است كه همواره ميان دو كامپيوتر دو ‪ SPI‬وجود دارد ‪:‬‬
‫يكي براي ارتباط ‪ A‬و ‪ B‬و يكي براي ارتباط ‪ B‬به ‪ . A‬اگر يكي از كامپيوترها بخواهد در حالت محافظت‬
‫شده ‪ Data‬ها را منتقل كند نخست شيوه رمز گذاري مورد توافق با كامپيوتر ديگر را بررسي كرده و آن‬
‫شيوه را روي ‪ Data‬ها اعمال مي كند ‪ .‬سپس ‪ SPI‬را در ‪ Header‬نوشته و ‪ Packet‬را به سوي مقصد‬
‫مي فرستد ‪.‬‬

‫‪25/10/1386‬‬
‫مديريت كليدهاي رمز در‪Ipsec :‬‬

‫اگر چه ‪ Ipsec‬فرض را بر اين مي گذارد كه توافقي براي ايمني ‪ Data‬ها وجود دارد اما خودش‬
‫براي ايجاد اين توافق نمي تواند كاري انجام بدهد ‪.‬‬
‫در اين كار به )‪ IKE (Internet Key Exchange‬تكيه مي كند كه كاركردي همچون‬ ‫‪Ipsec‬‬
‫)‪ IKMP (Key Management Protocol‬دارد‪ .‬براي ايجاد ‪ SA‬هر دو كامپيوتر بايد نخست‬
‫تعيين اعتبار شوند ‪ .‬در حال حاضر براي اين كار از راه هاي زير استفاده مي شود‪.‬‬
‫‪Pre shared keys :‬‬

‫روي هر دو كامپيوتر يك كليد نصب مي شود كه ‪ IKE‬از روي آن يك عدد ‪ Hash‬ساخته و آن‬
‫را به سوي كامپيوتر مقصد مي فرستد ‪ .‬اگر هر دو كامپيوتر بتوانند اين عدد را بسازند پس هر دو اين كليد‬
‫دارند و به اين ترتيب تعيين هويت انجام مي گيرد ‪.‬‬
‫• رمز گذاري ‪ :Public Key‬هر كامپيوتر يك عدد تصادفي ساخته و پس از رمز گذاري آن با‬
‫كليد عمومي‪ e‬كامپيوتر مقابل ‪ ،‬آن را به كامپيوتر مقابل مي فرستد ‪.‬اگر كامپيوتر مقابل بتواند با كليد‬
‫شخصي خود اين عدد را رمز گشايي كرده و باز پس بفرستد برا ي ارتباط مجاز است‪ .‬در حال حاضر‬
‫تنها از روش ‪ RSA‬براي اين كار پيشنهاد مي شود ‪.‬‬
‫• امضاء ديجيتال‪ :‬در اين شيوه ‪ ،‬هر كامپيوتر يك رشته ‪ Data‬را عالمت گذاري (امضاء) كرده‬
‫و به كامپيوتر مقصد مي فرستد‪ .‬در حال حاضر براي اين كار از روش هاي ‪ RSA‬و‬
‫) ‪ DSS ( Digital Signature Standard‬استفاده مي شود ‪ .‬براي امنيت بخشيدن به تبادل‬
‫‪ Data‬ها بايد هر دو سر ارتبا طنخست بر سر يك يك كليد به توافق مي رسند كه براي تبادل ‪ Data‬ها به‬
‫كار مي رود ‪ .‬برا ي اين منظور مي توان همان كليد به دست آمده از طريق ‪ Diffie Hellmann‬را به‬
‫كاربرد كه سريع تر است يا يك كليد ديگر ساخت كه مطمئن تر است ‪.‬‬
‫امنــيت ‪VPN (Virtual Private Network):‬‬
‫شبکه های ‪ VPN‬بمنظور تامين امنيت (‪ Data‬ها و ارتباطات) از روش های متعددی استفاده می‬
‫نمايند‪:‬‬
‫● فايروال ‪ .‬فايروال يک ديواره مجازی بين شبکه اختصای يک سازمان و اينترنت ايجاد می نمايد‪ .‬با‬
‫استفاده از فايروال می توان عمليات متفاوتی را در جهت اعمال سياست های امنيتی يک سازمان انجام‬
‫داد‪ .‬ايجاد محدوديت در تعداد پورت ها فعال ‪ ،‬ايجاد محدوديت در رابطه به پروتکل های خاص ‪ ،‬ايجاد‬
‫محدوديت در نوع بسته های اطالعاتی و ‪ ...‬نمونه هائی از عملياتی است که می توان با استفاده از يک‬
‫فايروال انجام داد‪.‬‬
‫● رمزنگاری‪ .‬فرآيندی است که با استفاده از آن کامپيوتر مبداء اطالعاتی رمزشده را برای کامپيوتر‬
‫ديگر ارسال می نمايد‪ .‬ساير کامپيوترها ی مجاز قادر به رمزگشائی اطالعات ارسالی خواهند بود‪ .‬بدين‬
‫ترتيب پس از ارسال اطالعات توسط فرستنده ‪ ،‬دريافت کنندگان‪ ،‬قبل از استفاده از اطالعات می بايست‬
‫اقدام به رمزگشائی اطالعات ارسال شده نمايند‪ .‬سيستم های رمزنگاری در کامپيوتر به دو گروه عمده‬
‫تقسيم می گردد ‪:‬‬
‫رمزنگاری کليد متقارن‬
‫رمزنگاری کليد عمومی‬
‫در رمز نگاری " کليد متقارن " هر يک از کامپيوترها دارای يک کليد ‪ )Secret‬کد ) بوده که با‬
‫استفاده از آن قادر به رمزنگاری يک بسته اطالعاتی قبل از ارسال در شبکه برای کامپيوتر ديگر می‬

‫‪25/10/1386‬‬
‫باشند‪ .‬در روش فوق می بايست در ابتدا نسبت به کامپيوترهائی که قصد برقراری و ارسال اطالعات‬
‫برای يکديگر را دارند ‪ ،‬آگاهی کامل وجود داشته باشد‪ .‬هر يک از کامپيوترهای شرکت کننده در مبادله‬
‫اطالعاتی می بايست دارای کليد رمز مشابه بمنظور رمزگشائی اطالعات باشند‪ .‬بمنظور رمزنگاری‬
‫اطالعات ارسالی نيز از کليد فوق استفاده خواهد شد‪ .‬فرض کنيد قصد ارسال يک پيام رمز شده برای يکی‬
‫از دوستان خود را داشته باشيد‪ .‬بدين منظور از يک الگوريتم خاص برای رمزنگاری استفاده می شود ‪.‬در‬
‫الگوريتم فوق هر حرف به دوحرف بعد از خود تبديل می گردد‪(.‬حرف ‪ A‬به حرف ‪ ، C‬حرف ‪ B‬به‬
‫حرف ‪. ) D‬پس از رمزنمودن پيام و ارسال آن ‪ ،‬می بايست دريافت کننده پيام به اين حقيقت واقف باشد که‬
‫برای رمزگشائی پيام لرسال شده ‪ ،‬هر حرف به دو حرق قبل از خود می باطست تبديل گردد‪ .‬در چنين‬
‫حالتی می باطست به دوست امين خود ‪ ،‬واقعيت فوق ( کليد رمز ) گفته شود‪ .‬در صورتيکه پيام فوق‬
‫توسط افراد ديگری دريافت گردد ‪ ،‬بدليل عدم آگاهی از کليد ‪ ،‬آنان قادر به رمزگشائی و استفاده از پيام‬
‫ارسال شده نخواهند بود‪.‬‬
‫در رمزنگاری عمومی‪ e‬از ترکيب يک کليد خصوصی و يک کليد عمومی استفاده می شود‪ .‬کليد‬
‫خصوصی صرفا" برای کامپيوتر شما ( ارسال کننده) قابل شناسائی و استفاده است ‪ .‬کليد عمومی توسط‬
‫کامپيوتر شما در اختيار تمام کامپيوترهای ديگر که قصد ارتباط با آن را داشته باشند ‪ ،‬گذاشته می شود‪.‬‬
‫بمنظور رمزگشائی يک پيام رمز شده ‪ ،‬يک کامپيوتر می بايست با استفاده از کليد عمومی‪ ( e‬ارائه شده‬
‫توسط کامپيوتر ارسال کننده ) ‪ ،‬کليد خصوصی مربوط به خود اقدام به رمزگشائی پيام ارسالی نمايد ‪.‬‬
‫يکی از متداولترين ابزار "رمزنگاری کليد عمومی"‪ ، e‬روشی با نام ‪)PGP)Pretty Good Privacy‬‬
‫است ‪ .‬با استفاده از روش فوق می توان اقدام به رمزنگاری اطالعات دلخواه خود نمود‪.‬‬
‫‪● IPsec (Internet protocol security protocol) -‬يکی از امکانات موجود برای ايجاد‬
‫امنيت در ارسال و دريافت اطالعات می باشد‪ .‬قابليت روش فوق در مقايسه با الگوريتم های رمزنگاری‬
‫بمراتب بيشتر است ‪ .‬پروتکل فوق دارای دو روش رمزنگاری است ‪ . Tunnel ، Transport :‬در روش‬
‫‪ ، tunel‬هدر و ‪ Payload‬رمز شده درحاليکه در روش ‪ transport‬صرفا" ‪ payload‬رمز می گردد‪.‬‬
‫پروتکل فوق قادر به رمزنگاری اطالعات بين دستگاههای متفاوت است ‪:‬‬
‫روتر به روتر‬
‫فايروال به روتر‬
‫کامپيوتر به روتر‬
‫کامپيوتر به سرويس دهنده‬

‫‪ ● AAA (Authentication ,Authorization Accounting) -‬اين سرويس بمنظور ايجاد امنيت باال‬
‫در محيط های ‪ VPN‬از نوع " دستيابی از راه دور " استفاده می گردند‪ .‬زمانيکه کاربران با استفاده از‬
‫خط تلفن به سيستم متصل می گردند ‪ ،‬سرويس دهنده ‪ AAA‬درخواست آنها را اخذ و عمايات زير را‬
‫انجام خواهد داد‪:‬‬
‫شما چه کسی هستيد؟ تاييد ‪) ) Authentication ،‬‬
‫شما مجاز به انجام چه کاری هستيد؟ مجوز ‪) ) Authorization ،‬‬
‫چه کارهائی را انجام داده ايد؟ حسابداری ‪) ) Accounting ،‬‬

‫‪25/10/1386‬‬
‫تکــنالـــوژی های ‪VPN:‬‬

‫با توجه به نوع ‪ (VPN‬دستيابی از راه دور) و يا ( سايت به سايت ) ‪ ،‬بمنظور ايجاد شبکه از‬
‫عناصر خاصی استفاده می گردد‪:‬‬
‫نرم افزارهای مربوط به کاربران از راه دور‬
‫سخت افزارهای اختصاصی نظير يک " کانکتور ‪ "VPN‬و يا يک فايروال ‪PIX‬‬
‫سرويس دهنده اختصاصی ‪ VPN‬بمنظور سرويُس های ‪Dial-up‬‬
‫سرويس دهنده ‪ NAS‬که توسط مرکز ارائه خدمات اينترنت بمنظور دستيابی به ‪ VPN‬از نوع "دستيابی‬
‫از را دور" استفاده می شود‪.‬‬
‫شبکه ‪ VPN‬و مرکز مديريت سياست ها‬
‫با توجه به اينکه تاکنون يک استاندارد قابل قبول و عمومی بمنظور ايجاد ش‪ VPN‬ايجاد نشده است ‪،‬‬
‫شرکت های متعدد هر يک اقدام به توليد محصوالت اختصاصی خود نموده اند‪.‬‬
‫‪ -‬کانکتور ‪VPN‬سخت افزار فوق توسط شرکت سيسکو طراحی و عرضه شده است‪ .‬کانکتور فوق در‬
‫مدل های متفاوت و قابليت های گوناگون عرضه شده است ‪ .‬در برخی از نمونه های دستگاه فوق امکان‬
‫فعاليت همزمان ‪ 100‬کاربر از راه دور و در برخی نمونه های ديگر تا ‪ 10.000‬کاربر از راه دور قادر‬
‫به اتصال به شبکه خواهند بود‪.‬‬
‫‪ -‬روتر مختص ‪ .VPN‬روتر فوق توسط شرکت سيسکو ارائه شده است ‪ .‬اين روتر دارای قابليت های‬
‫متعدد بمنظور استفاده در محيط های گوناگون است ‪ .‬در طراحی روتر فوق شبکه های ‪ VPN‬نيز مورد‬
‫توجه قرار گرفته و امکانات مربوط در آن بگونه ای بهينه سازی شده اند‪.‬‬
‫‪ -‬فايروال ‪ .PIX‬فايروال )‪ PIX(Private Internet eXchange‬قابليت هائی نظير ‪ ، NAT‬سرويس‬

‫دهنده ‪ ، Proxy‬فيلتر نمودن بسته ای اطالعاتی ‪ ،‬فايروال و ‪ VPN‬را در يک سخت افزار فراهم نموده‬
‫است ‪.‬‬
‫‪VPN Punez‬چیست؟‬
‫سرویس ‪ VpnP30speed‬به شما این امکان را می دهدتا بتوانید از طریق یک سرور خارجی‬
‫در کشور آمریکا به شبکه سراسری اینترنت متصل شوید ‪.‬‬
‫‪ -‬این اتصال از هر نقطه دنیا‪ ،‬موقعیت مکانی شما را به کشور آمریکا تغییر می دهد و شما در‬
‫شبکه اینترنت یک کاربر آمریکایی شناخته می شوید ‪ ،‬شما پس از اتصال به این سرویس ‪ ،‬در زمان باز‬

‫‪25/10/1386‬‬
‫کردن وب سایت‪ ،‬درخواست شما به سرور ما ارسال شده و از این سرور دریافت می شوید و به دلیل‬
‫اینکه سرور ما در کشور آمریکا واقع است ‪ ،‬بدون هیچ محدودیتی می توانید از سرویس سایتهای فیلتر‬
‫شده استفاده نمائید و بدون هیچ هراسی از مزاحمتهای اینترنتی براحتی در دنیای اینترنت قدم بزنید ‪ .‬و‬
‫بدون هیچ نگرانی با سرعت باال به گشت و گذار بپردازید ‪.‬‬
‫عبور از هر گونه فیلتر و استفاده از سایتهای فیلتر شده‬ ‫‪‬‬

‫تماس رایگان با کشور آمریکا و کانادا از طریق سرویس شرکت ‪Skype‬‬ ‫‪‬‬
‫تبادل مالی و سازگار با تمام سایتهای تجارت الکترونیک مانند ‪E-Gold ,‬‬ ‫‪‬‬
‫‪... , Paypal‬‬
‫سازگار با تمامی سایتهای ارتباط جمعی مانند » ‪Orkut ,Gazzag‬‬ ‫‪‬‬
‫بدون محدودیت در سرعت ‪ ،‬زمان و پهنای باند ‪...‬‬ ‫‪‬‬
‫تغییر هویت شما از ایرانی به آمریکایی ‪IP Daynamic‬‬ ‫‪‬‬
‫امنیت باال برای انجام معامالت آنالین‬ ‫‪‬‬
‫کد کردن اطالعات ورودی و خروجی تبادل شده در اینترنت‬ ‫‪‬‬
‫جلوگیری از شنود و پیگیری اطالعات محرمانه شما‬ ‫‪‬‬
‫بروز رسانی ویندوز ‪ ،‬آنتی ویروس مانند » ‪... , MacAfee‬‬ ‫‪‬‬
‫دسترسی به سایتهای اینترنتی فیلتر شده بدون محدودیت و‬ ‫‪‬‬
‫سازگار با تمام ارتباطات و اتصاالت اینترنتی‬ ‫‪‬‬
‫نصب بسیار ساده و آسان تنها با یک کلیک !!!‬ ‫‪‬‬
‫مبارزه با تحریماتی که از طرف آمریکا برای کاربران ایرانی در اینترنت‬ ‫‪‬‬
‫اعمال شده ‪...‬‬
‫بدون هیچ گونه هزینه اضافی برای تلفن‬ ‫‪‬‬
‫باالرفتن سرعت اینترنت‬ ‫‪‬‬
‫‪ Virtual Private Networks‬یا ‪ VPN‬يکی از پرقدرت ترين و امن ترين راه های استفاده از‬
‫شبکه اينترنت است که در آن ‪ Data‬ها در يک بستر کد بندی شده و کامال ‪ Secure‬رد و بدل می شود‪.‬‬
‫برای جلوگیری از تجاوز هکر ها به حریم خصوصی شما و نیز جلوگیری از دخالت محدودیت‬
‫هایی که ‪ ISP‬ها بر نوع و نحوه ارتباط شما با برخی از سرور ها ایجاد می کنند (مانند فیلترینگ و‬
‫محدودیت سرعت)‪ ،‬از شبکه ارتباطی ‪ VPN‬استفاده می شود‪.‬‬
‫توضیح‪ :‬استفاده از ‪ VPN‬به معنی ایجاد ارتباط با یک سرور در آمریکا می باشد‪ .‬این ارتباط از‬
‫طریق کانکشن کنونی شما (هر کانکشنی که دارید‪ ، Dialup ، ADSL :‬وایرلس و ‪ )...‬به اینترنت‬
‫برقرار می شود و هیچ گونه هزینه اضافی برای وصل شدن به سرور (مثال تلفن به آمریکا) نخواهد‬
‫داشت‪.‬‬
‫‪ ‬‬
‫مزایای استفاده از این سرویس‬
‫‪1- ‬برخورداری از يک ‪ IP‬آمريکايي به هنگام استفاده از اينترنت‬

‫‪25/10/1386‬‬
‫با اين سرويس کاربر هيچ گونه محدوديتی در بازگشايي صفحات( ‪ Web Site‬ها) نخواهد داشت‬
‫و حتی صفحاتی که به علت تحريم اينترنتی کشورهای جهان سوم از جمله ايران از طرف آمريکا بسته‬
‫شده اند را باز خواهد نمود‪ .‬چرا که کاربر پس از دريافت يک ‪ IP‬آمريکايي‪ ،‬دقيقا به مانند يک فرد‬
‫آمريکايي شناخته خواهد شد و از همه سرويس های اينترنتی استفاده خواهد کرد‪.‬‬
‫‪2-‬امکان تبادل اطالعات در يک تونل رمزگذاری شده‬
‫کليه اطالعات شما پس از ارتباط با سرور پونز از داخل يک تونل رمزگذاري شده عبور مي کند‬
‫لذا هيچ هکری نخواهد توانست به سادگی به منابع سيستم شما دستيابی پيدا کند و يا حتی شنود اينترنتی بر‬
‫روی اطالعات تبادل شده از کامپيوتر شما داشته باشد‪.‬‬
‫‪ 3-‬ستيابی به سايتهايي که به هر علتی مسدود گرديده اند‬
‫پس از برقراری ارتباط با سرور پونز‪ ،‬درخواستهای کاربران برای بازگشايی وب سايت از‬
‫داخل تونل ايجاد شده مستقيما به سروراين کمپانی در آمريکا ارسال می شود و از اين پس آن سرور‪ ،‬وب‬
‫سايت مورد نظر شما را می گشايد و می فرستد‪ ،‬لذا تمام محدديتهای موجود از بين می رود‪.‬‬
‫‪4-‬عدم وجود تاخيرهای اعمال شده از سوی بازار تجارت الکترونيکی برتر (‪)E-Marketing‬‬
‫برای کشورهای جهان سوم‬
‫سرويس هايي نظير ‪ Forex‬که يکی از بزرگترين سرويس های تجارت الکترونيک می باشد به‬
‫دليل تحريم اقتصادی برخی از کشورها مانند ايران‪ ،‬نمودارهای تغييرات نرخ خود را با تاخير نسبتا زياد‬
‫برای اين کشورها ارسال می کنند و اين باعث ضرر و زيان و در بهترين شرايط بدست آوردن سود اندک‬
‫به هنگام کار با اين سرويس ها خواهد شد‪ .‬سرويس ‪ VPN‬پونز به راحتی می تواند شما را به عنوان يک‬
‫فرد آمريکايي به اين سرويس ها معرفی نمايد ونهايتا می توانيد نمودارهای حقيقی تغييرات نرخ را مشاهده‬
‫و اقدام به خريد و فروش نماييد‪ .‬شايان ذکر است که در ايران بسياری از کاربران ‪ Forex‬در حال حاضر‬
‫از اين سرويس بهره می جويند‪.‬‬
‫‪5-‬امکان برقراری ارتباطات تلفنی رايگان با آمريکا و کانادا‬
‫کمپانی ‪ Skype‬با دريافت ‪ 30‬دالر در سال امکان برقراری ارتباط تلفنی به صورت ‪PC to‬‬
‫‪ Phone‬را به مردم آمريکا و کانادا می دهد‪ .‬با پرداخت اين آبونمان ساالنه‪ ،‬همه اهالی آمريکا وکانادا می‬
‫توانند به طور رايگان با يکديگر مکالمه نمايند‪ .‬کيفيت صدا بسيار عالی و صاف بوده و مدت زمان مکالمه‬
‫نامحدود است‪ .‬کاربران ‪ VPN‬پونز که به عنوان يک شهروند آمريکايی شناخته می شوند نيز می توانند‬
‫به سادگی از اين سيستم استفاده نمايند‪.‬‬
‫‪6-‬با دريافت يک ‪ Valid IP‬می توانيد کامپيوتر خودتان را به يک ‪ Web Server‬تبديل نماييد‪.‬‬
‫کاربران حرفه ای اينترنت برای ايجاد وب سايت می بايست يک ‪ Web Server‬اجاره نمايند و‬
‫وب سايت خود را روی آن ‪ Host‬کنند‪ .‬اگر پهنای باند اينترنت شما پهنای باند مطلوبی می باشد به راحتی‬
‫می توانيد وب سايتهای خود را بر روی کامپيوتر خود قرار داده و از پرداخت اجاره ساليانه اجتناب‬
‫ورزيد و همچنين می توانيد کامپيوتر خود را به يک ‪ Web server‬تبديل نموده و وب سايتهای ديگران را‬

‫‪25/10/1386‬‬
‫بر روی آن ‪ Host‬نموده و اجاره آن را دريافت نماييد‪ ،‬درست مانند اينکه وب سايت شما بر روی يک‬
‫‪ Web Server‬آمريکايی ‪ Host‬شده است‪.‬‬
‫‪7-‬مبارزه با تحريم اينترنتی هر چه پيش می رويم تحريم اينترنتی عليه کشورهای جهان سوم از‬
‫جمله ايران توسعه می يابد و بسياری از سايتهای اينترنتی به محض تشخيص ‪ IP‬دستگاه شما متوجه می‬
‫شوند از ايران به اينترنت وصل شده ايد و از ارائه سرويس به شما خودداری می کنند‪ .‬سايتهايی نظير‬
‫‪ McAfee‬و حتی قسمتهايی از ‪ Google‬از اين جمله اند‪ .‬در اين ميان سايتهايی که تراکنشهای مالی را‬
‫مديريت می کنند‪ ،‬در راس همه سايتها قرار گرفته اند و به محض اينکه شما يک تراکنش مالی از طريق‬
‫کارت اعتباری خود با اين سايتها انجام دهيد‪ ،‬از ادامه ارائه سرويس به کارت شما خودداری می کنند‪ .‬به‬
‫عبارت ديگر از شما مدارک مستدل می خواهند که ثابت کند شما در کشورهای تحريم شده زندگی نمی‬
‫کنيد‪ .‬برخی از اين سايتها نظير ‪ Paypal‬و ‪ VeriSign‬هرگز به کشورهای تحريم شده سرويس نمی دهد‪.‬‬
‫استفاده از سرويس ‪ VPN‬پونز به راحتی استفاده از اين سايتها را به ارمغان می آورد‪.‬‬
‫‪8-‬و از همه مهمتر افزايش سرعت کار با اينترنت‪:‬‬
‫آیا میدانستید اکثر ‪ ISP‬ها محدودیت های بسیاری در نحوه ارتباط شما با اینترنتت لحاظ کرده اند؟‬
‫آیا میدانستید سرعت اتصال شما به سرور های مختلف و حتی استفاده از برنامه های ‪ p2p‬مثل ‪emule,‬‬
‫‪ shareaza, bittorent‬و ‪ kazaa‬محدود شده است و از سرعت واقعی اینترنت خود برای دانلود بهره‬
‫نمی برید؟‬
‫اگر از سرويس های پر سرعت استفاده می کنيد اما سرعت شما به حد نصاب نمی رسد با استفاده‬
‫از سرويس ‪ VPN‬پونز می توانيد حد باند خود را افزايش داده و به حد مطلوب برسانيد‪ .‬در برخی موارد‬
‫که ‪ ISP‬شما نمی تواند ترافيک تونل را کنترل نمايد‪ ،‬خواهيد ديد که پهنای باند شما نامحدود می شود و‬
‫می توانید از سرعت واقعی اینترنت خود استفاده کنید‪.‬‬
‫راه اندازي يا پيكربندي‬

‫‪ 1-‬براي برقراري کانال ارتباطي پنجره ‪ Network Connections‬را از مسير زير باز کنيد‪:‬‬
‫‪Start > Control Panel > Network Connections‬‬
‫در اينجا الزم است يک آيکن اتصال جديد به شبکه مجازي بسازيد براي اين کار از منوي ‪File‬‬

‫‪25/10/1386‬‬
‫گزينه ‪ New Connection‬را انتخاب کنيد‪ .‬و يا مطابق شکل ‪ 1‬گزينه ‪ Create a new connection‬را‬
‫از پانل سمت چپ انتخاب نماييد‪.‬‬
‫‪ 2-‬اولين پنجره اطالعات اوليه‌اي در مورد خود ‪Wizard‬به شما مي‌دهد‪ .‬فقط دکمه ‪ Next‬را‬
‫بزنيد‪.‬‬
‫‪3-‬نجره بعدي از شما مي‌خواهد که نوع اتصال خود را مشخص کنيد‪ .‬در اينجا مطابق شکل ‪2‬‬
‫گزينه " ‪ " Connect to the network at my workplace‬که مربوط به ايجاد اتصال به شبکه ‪VPN‬‬
‫مي‌باشد را انتخاب کرده و دکمه ‪ Next‬را بزنيد‪.‬‬

‫‪25/10/1386‬‬
‫‪ 4-‬همانطور که در شکل ‪ 3‬مالحظه مي‌نماييد از دو راه ميتوان به شبکه وصل شد‪.‬‬
‫• اتصال از طريق اينترنت‬
‫• اتصال از طريق مودم و ‪ :dial-up‬با انتخاب اين گزينه‪ ،‬در پنجره هاي بعدي نام مودم‪ ،‬شماره‬
‫تلفن تماس با سروري که به آن وصل مي‌شويد را تعيين خواهيد کرد‪ .‬موقعي که دسترسي به اينترنت‬
‫نداريد مي‌توانيد از اين روش استفاده نماييد‪ .‬توجه داشته باشيد که اين يک اتصال پر خرج مي‌باشد‬
‫مخصوصا مواقعي که ‪ VPN Server‬در مسير دوري قرار گرفته باشد‪.‬‬
‫اما همانطور که در شکل ‪ 3‬مشاهده مي‌کنيد گزينه دوم ( ‪ ) Virtual Private Network‬را‬
‫انتخاب کرده و ‪ Next‬کنيد‪ .‬يک نام را براي اين اتصال در نظر مي‌گيريم‪ .‬بهتر است که نام مناسبي را‬
‫انتخاب کنيد‪ .‬مخصوصا موقعي که به شبکه‌هاي مختلف متصل مي‌شويد‪.‬‬

‫‪25/10/1386‬‬
‫‪5-‬مطابق شکل ‪ 4‬در پنجره ‪ ،Public Network‬يکي از خطوط ‪ ISP‬خود را براي برقراري‬
‫اتصال اينترنتي به ‪ VPN Server‬خود انتخاب کرده و دکمه ‪ Next‬را بزنيد‪ .‬اگر در شبکه داخلي هستيد‪،‬‬
‫گزينه اول يعني ‪ Do not dial the initial connection‬را انتخاب نماييد ( شما از اين پس از طريق‬
‫اين کانال اينترنتي به (‪ VPN‬وصل خواهيد شد ‪.‬‬

‫‪25/10/1386‬‬
‫‪6-‬مطابق شکل ذيل در پنجره ‪ Connection Name‬آيپي آدرس يا ‪ Host Name‬سرور ‪VPN‬‬
‫را وارد نموده و دکمه ‪ Next‬را بزنيد‪ .‬بعنوان مثال آيپي آدرس سرور داخلي ما ‪ 192.168.0.1‬مي‌باشد‪.‬‬
‫‪ 7-‬در آخرين پنجره‪ ،‬خالصه تنظيمات نمايش داده مي‌شود‪ .‬با زدن دکمه ‪ Finish‬کار ساخت يک‬
‫‪ VPN‬به پايان مي‌رسد‪.‬‬ ‫‪Connection‬‬
‫تنظيمات کانال ارتباطي‬

‫بعد از اتمام مراحل فوق يک پنجره مانند شکل ذيل ‪ ،‬براي اتصال به ‪ ، VPN Server‬ظاهر‬
‫خواهد شد‪ .‬که از شما نام کاربري و کلمه عبور در خواست مي‌کند‪ .‬در واقع تا اين مرحله شما فقط يک‬
‫آيکن اتصال اوليه به شبکه را ساخته‌ايد‪ .‬قبل از اتصال‪ ،‬توضيحاتي در مورد اين تنظيمات مي دهيم‪:‬‬
‫همانطور که در شکل ‪ 6‬مي‌بينيد‪ ،‬دکمه ‪ ، Properties‬را بزنيد تا در مورد قسمت‌هاي مختلف توضيحاتي‬
‫ارائه دهيم‪.‬‬

‫‪25/10/1386‬‬
‫قسمت ‪General :‬‬

‫همانطور که در شکل ذيل مالحظه مي‌کنيد اين قسمت نياز به تنظيمات و تغييرات چنداني ندارد ‪.‬‬
‫اگر مي‌خواهيد نام و يا آيپي آدرس سروري که مي‌خواهيد به آن وصل شويد را تغيير دهيد‪ ،‬در اولين کادر‬
‫مي‌توانيد تغييرات را وارد نماييد‪ .‬توجه نماييد که ما قبال آيپي آدرس مورد نظر را وارد کرده بوديم‪( .‬به‬
‫شکل ‪ 5‬دقت کنيد( ‪.‬‬
‫همچنين در همين صفحه و در قسمت ‪ First Connection‬مي‌توانيد تنظيم کنيد که کدام يک از‬
‫خطوط ‪ ISP‬را براي برقراري اتصال اينترنتي به ‪ VPN‬سرور مي‌خواهيد استفاده نماييد‪( .‬اين گزينه را‬
‫نيز قبال با توجه به شکل ‪ 4‬تنظيم نموده‌ايم( ‪.‬‬
‫توجه‪ :‬اگر بخواهيد به ‪ VPN‬سرور داخل شبکه متصل شويد نيازي به تعريف اين گزينه نيست‪.‬‬
‫در انتها نيز گزينه‌اي مربوط به فعال يا غير فعال کردن نمايش آيکن آداپتور شبکه در ‪ )system tray‬بعد‬
‫از برقراري اتصال به شبکه) مي‌باشد‪.‬‬

‫‪25/10/1386‬‬
‫قسمت ‪Options :‬‬

‫همانطور که در شکل ذيل مشاهده مي‌نماييد در اين قسمت عملياتي که در هنگامي برقراري‬
‫اتصال انجام مي‌شود‪ e،‬را مي‌توان تنظيم نمود‪ .‬برخي از اين تنظيمات در قالب سوال‌هاي زير نشان داده‬
‫شده است‪.‬‬
‫• آيا سيستم وضعيت اتصال را به شما نشان دهد يا خير؟‬

‫• نام کاربري‪ ،‬کلمه عبور و نام ‪ domain‬را درخواست کند يا خير؟‬
‫و با گزينه‌هايي که در قسمت ‪ Redialing Options‬وجود دارد‪ ،‬عکس العمل سيستم در مقابل‬

‫عدم دريافت پاسخ از طرف سرور‪ ،‬را مي‌توانيد تنظيم نماييد‪:‬‬
‫• در صورت عدم دريافت پاسخ از سرور‪ ،‬جند بار سعي براي اتصال صورت گيرد؟‬
‫• تنظيم فاصله زماني بين هر سعي با سعي ديگر‬

‫‪25/10/1386‬‬
‫• اگر اتصال ناخواسته قطع شد‪ ،‬آيا مجدداً برقرار شود يا خير؟‬
‫در حالت عادي نيازي به تغيير در اين برگه نيست‪.‬‬
‫قسمت ‪Security:‬‬
‫همانطور که در شکل ذیل مي‌بينيد در اين قسمت مي‌توانيد امنيت اتصال خود را تنظيم کنيد‪ .‬اگر‬
‫طبق دستور العمل‌هاي داده شده در ‪ VPN Server‬تنظيمات را انجام داده باشيد نيازي به تغيير در اينجا‬
‫احساس نمي‌شود مگر اينکه بخواهيد امنيت بيشتري را در نظر بگيريد‪ .‬براي انجام اين کار گزينه‬
‫‪ Advanced‬را انتخاب نموده و ساير تنظيمات را برحسب نياز انجام دهيد‪.‬‬
‫توجه‪ :‬اين گزينه زير را فعال نکنيد‪:‬‬
‫‪Automatically use my Windows logon name and password‬‬
‫اگر اين گزينه در کامپيوتر فعال باشد و اين کاربر به قصد استراحت‪ ،‬براي مدت کوتاهي‬
‫کامپيوتر را رها کرده باشد‪.‬‬

‫‪25/10/1386‬‬
‫هر کسي مي‌تواند از طريق اين کامپيوتر به شبکه (‪ )VPN Server‬وصل شود‪ .‬زيرا با فعال‬
‫کردن اين گزينه عمالً نياز به تايپ نام کاربري و کلمه عبور براي ورود به سرور را از بين برده‌ايد‪.‬‬
‫قسمت‪Networking :‬‬
‫در اين برگه تنظيمات مختلفي مي‌توان انجام داد‪ .‬همانگونه که در شکل ذیل مي بينيد اولين تنظيم‬
‫مربوط به نوع اتصال ‪ VPN‬شما مي‌باشد‪ .‬بصورت پيش فرض ‪ Automatic‬انتخاب شده است که هر دو‬
‫حالت ‪ PPTP VPN‬و ‪ L2TP VPN‬را به ترتيب بررسي مي نمايد‪.‬‬
‫‪ PPTP‬براي كاربردهاي عمومي و غير حرفه‌اي مناسب‌تر مي‌باشد‪ .‬پروتكل ‪ L2TP‬که به‬
‫‪ CISCO‬ارائه شده است به لحاظ امنيتي بسيار قدرتمندتر است‪ .‬پروتكل ديگري را به‬ ‫وسيله شركت‬
‫نام ‪ IPSec‬پايه‌ريزي شده است كه پيچيدگي‌هاي خاصي دارد‪ .‬ما در اينجا از پروتکل ‪ PPTP‬استفاده‬
‫مي‌کنيم که تنظيمات راحت‌تري دارد‪.‬‬

‫‪25/10/1386‬‬
‫يکي ديگر از تنظيمات‪ ،‬تعيين اينکه آيا مي‌خواهيد براي اتصال به شبکه ‪ VPN‬از ‪Default‬‬
‫‪ Gateway‬استفاده شود يا نه؟ براي اين کار مي توانيد‪ ،‬باتوجه به شکل ‪ 10‬پس از انتخاب ‪Internet‬‬
‫)‪ Protocol (TCP/IP‬و سپس زدن دکمه ‪ Properties‬از آنجا دکمه ‪ Advanced‬را بزنيد تا گزينه‌اي‬
‫مانند آنچه در شکل ‪ 12‬نشان داده شده را پيدا نماييد‪.‬‬
‫در اين گزينه به صورت پيش فرض تيک خورده و فعال است‪ .‬ممکن است که برايتان اين سوال‬
‫پيش بيايد که چه زماني اين گزينه فعال و چه زماني غير فعال کنيم؟‬
‫بعضي از کاربران در خانه‪ ،‬ويا بعضي‌ها در کافي نت‌ها و يا هتل و غيره‪ ...‬و از راه اينترنت به ‪VPN‬‬
‫وصل مي‌شوند‪ .‬اينگونه افراد براي اتصال به شبکه ‪ ،VPN‬در واقع از راه دور (‪ )Remote‬به ‪VPN‬‬
‫‪ Server‬وصل مي‌شوند‪ .‬بنابرين با فعال کردن اين گزينه يک مسيري براي آنها ايجاد کرده‌ايد که بتوانند‬
‫بدون مشکل وصل شوند‪.‬‬

‫‪25/10/1386‬‬
‫توجه‪:‬‬
‫براي کاربران داخلي (کاربران داخل شبکه) که از يک محدوده خاصي از ‪ IP‬آدرس استفاده‬
‫مي‌کنند‪ ،‬گزينه "‪ "Use default gateway on remote network‬را غير فعال کنيد‪.‬‬
‫قسمت ‪Advanced:‬‬
‫در اتصال معمولي‪ e‬و ساده به شبکه ‪ ،VPN‬اين قسمت نياز به تنظيمات خاصي ندارد‪.‬‬

‫‪25/10/1386‬‬
‫بعد از انجام تنظيمات الزم نوبت به برقراري ارتباط مي‌رسد‪ .‬دکمه ‪ Connect‬در پنجره اصلي‬
‫را بزنيد (به شکل‪ 6‬دقت نماييد)‪ .‬چنانچه تنظيمات ‪ VPN Server‬و ‪ VPN Client‬را به درستي انجام‬
‫داده باشيد‪ .‬اتصال با موفقيت انجام مي‌شود و آيکني مشابه آيکن اتصال به اينترنت در ‪System Tray‬‬
‫ظاهر مي‌شود‪ .‬که مي‌توانيد خصوصيات اتصال خود را با زدن دکمه ‪ Properties‬مشاهده کنيد‪ .‬با اين‬
‫اتصال مانند آن است که خود در سرور قرار گرفته باشيد‪ .‬واز امکانات آن استفاده نماييد‪.‬‬
‫پياه‌سازي ‪VPN‬‬
‫براي پياده‌سازي ‪ VPN‬بر روي ويندوز ‪ 2000‬كافيست كه از منوي ‪Program/Administrative‬‬
‫‪ ، /Tools‬گزينه ‪ Routing and Remote Access‬را انتخاب كنيد ‪ .‬از اين پنجره گزينه ‪ VPN‬را‬
‫انتخاب كنيد ‪ .‬پس از زدن دكمه ‪ Next‬وارد پنجره ديگري مي‌‌شويد كه در آن كارت‌هاي شبكه موجود بر‬
‫روي سيستم ليست مي‌شوند ‪.‬‬

‫‪25/10/1386‬‬
‫براي راه‌اندازي يك سرور ‪ VPN‬مي‌بايست دو كارت شبكه نصب شده بر روي سيستم داشته باشيد‪.‬‬
‫از يك كارت شبكه براي ارتباط با اينترنت و از كارت ديگر جهت برقراري ارتباط با شبكه محلي استفاده‬
‫مي‌شود‪ .‬در اين‌جا بر روي هر كارت به‌طور ثابت ‪ IP‬قرار داده شده اما مي‌توان اين ‪IP‬ها را به صورت‬
‫پويا بر روي كارت‌هاي شبكه قرار داد ‪.‬‬
‫در پنجره بعد نحوه آدرس‌دهي به سيستم راه دوري كه قصد اتصال به سرور ما را دارد پرسيده‬
‫مي‌شود ‪ .‬هر ايستگاه كاري مي‌تواند يك آدرس ‪ IP‬براي كار در شبكه محلي و يك ‪ IP‬براي اتصال ‪VPN‬‬
‫داشته باشد ‪ .‬در منوي بعد نحوه بازرسي كاربران پرسيده مي‌شود كه اين بازرسي مي‌تواند از روي‬
‫كاربران تعريف شده در روي خود ويندوز باشد و يا آنكه از طريق يك سرويس دهنده ‪RADIUS‬‬
‫صورت گيرد در صورت داشتن چندين سرور ‪ VPN‬استفاده از ‪ RADIUS‬را به شما پيشنهاد مي‌كنيم ‪.‬‬
‫با اين روش كاربران ‪ ،‬بين تمام سرورهاي ‪ VPN‬به اشتراك گذاشته شده و نيازي به تعريف كاربران در‬
‫تمامي سرورها نمي‌باشد‪.‬‬
‫پروتكل‌هاي استفاده شونده‪:‬‬

‫عملياتي كه در باال انجام گرفت تنها پيكربندي‌هاي الزم جهت راه‌اندازي يك سرور ‪ VPN‬مي‌باشد ‪.‬‬
‫اما ( ‪ RRAS )Remote Routing Access Service‬داراي دو پروتكل جهت برقراري تونل ارتباطي‬
‫‪ VPN‬مي‌باشد‪ .‬ساده‌ترين پروتكل آن )‪ PPTP (Point to Point Tunneling Protocol‬است ‪ ،‬اين‬
‫پروتكل برگرفته از ‪ PPP‬است كه در سرويس‌هاي ‪ Dialup‬مورد استفاده واقع مي‌شود ‪‌،‬در واقع ‪PPTP‬‬
‫همانند ‪ PPP‬عمل مي‌كند ‪.‬‬
‫پروتكل ‪ PPTP‬در بسياري از موارد كافي و مناسب است ‪‌،‬به كمك اين پروتكل كاربران مي‌توانند‬
‫به روش‌هاي )‪ PAP (Password Authentication Protocol‬و ‪Chap (Challenge Handshake‬‬
‫)‪ Authentication Protocol‬بازرسي شوند‪ .‬جهت كد كردن اطالعات مي‌توان از روش كد سازي‬
‫‪ RSA‬استفاده نمود‪.‬‬
‫براي كاربردهاي خانگي و دفاتر و افرادي كه در امر شبكه حرفه‌اي نيستند مناسب است اما‬ ‫‪PPTP‬‬
‫در جايگاه امنيتي داراي پايداري زيادي نيست ‪ .‬پروتكل ديگري به نام )‪L2TP (Layer2 Forwarding‬‬
‫به وسيله شركت ‪ CISCO‬ارائه شده كه به لحاظ امنيتي بسيار قدرتمندتر است‪.‬‬
‫اين پروتكل با استفاده از پروتكل انتقال اطالعات )‪ UDP (User Datagram Protocol‬به‌جاي استفاده‬
‫از ‪ TCP‬به مزاياي زيادي دست يافته است ‪ .‬اين روش باعث بهينه و ملموس‌تر شدن براي ديواره‌هاي‬
‫آتش شده است ‪ ،‬اما باز هم اين پروتكل در واقع چيزي جز يك كانال ارتباطي نيست ‪ .‬جهت حل اين مشكل‬
‫و هر چه باالتر رفتن ضريب امنيتي در ‪ VPN‬شركت مايكروسافت پروتكل ديگري را به نام ‪IPSec (IP‬‬

‫‪25/10/1386‬‬
‫)‪ Security‬مطرح نموده كه پيكربندي ‪ VPN‬با آن كمي دچار پيچيدگي مي‌گردد‪.‬‬
‫اما در صورتي كه پروتكل ‪ PPTP‬را انتخاب كرده‌ايد و با اين پروتكل راحت‌تر هستيد تنها كاري كه بايد‬
‫در روي سرور انجام دهيد فعال كردن قابليت دسترسي ‪ Dial in‬مي‌باشد‪ .‬اين كار را مي‌توانيد با كليك بر‬
‫روي ‪ Remote Access Polices‬در ‪ RRAS‬انجام دهيد و با تغيير سياست كاري آن ‪ ،‬آن را راه‌اندازي‬
‫كنيد (به‌طور كلي پيش‌فرض سياست كاري ‪ ،‬رد كليه درخواست‌ها مي‌باشد‪.‬‬
‫دسترسي ايستگاه كاري از طريق ‪VPN:‬‬

‫حاال كه سرور ‪ VPN‬آماده سرويس‌دهي شده ‪ ،‬براي استفاده از آن بايد بر روي ايستگاه كاري نيز‬
‫پيكربنديهايي را انجام دهيم ‪ .‬سيستم عاملي كه ما در اين‌جا استفاده مي‌كنيم ويندوز ‪ XP‬مي‌باشد و روش‬
‫پياده‌سازي ‪ VPN‬را بر روي آن خواهيم گفت اما انجام اين كار بر روي ويندوز ‪ 2000‬نيز به همين شكل‬
‫صورت مي‌گيرد ‪ .‬بر روي ويندوزهاي ‪ 98‬نيز مي‌توان ارتباط ‪ VPN‬را برقرار نمود ‪ ،‬اما روش كار‬
‫كمي متفاوت است و براي انجام آن بهتر است به آدرس زير مراجعه كنيد ‪:‬‬
‫‪www.support.microsot.com‬‬
‫بر روي ويندوزهاي ‪ ، XP‬يك نرم‌افزار جهت اتصال به ‪ VPN‬براي هر دو پروتكل ‪ PPTP‬و‬
‫‪ L2TP‬وجود دارد‪ .‬در صورت انتخاب هر كدام ‪‌،‬نحوه پيكربندي با پروتكل ديگر تفاوتي ندارد ‪.‬‬
‫راه‌اندازي ‪ VPN‬كار بسيار ساده‌اي است ‪ ،‬كافيست كه بر روي ‪ Network Connection‬كليك نموده و‬
‫از آن اتصال به شبكه خصوصي از طريق اينترنت (‪ )Private Network Through Internet‬را‬
‫انتخاب كنيد ‪.‬‬
‫در انجام مرحله باال از شما يك اسم پرسيده مي‌شود ‪ .‬در همين مرحله خواسته مي‌شود كه براي‬
‫اتصال به اينترنت يك ارتباط تلفني (‪ )Dialup‬تعريف نماييد ‪ ،‬پس از انجام اين مرحله نام و يا آدرس‬
‫سرور ‪ VPN‬پرسيده مي‌شود ‪.‬‬
‫مراحل باال تنها مراحلي است كه نياز براي پيكربندي يك ارتباط ‪ VPN‬بر روي ايستگاه‌هاي كاري‬
‫مي‌باشد ‪ .‬كليه عمليات الزمه براي ‪ VPN‬به صورت خودكار انجام مي‌گيرد و نيازي به انجام هيچ عملي‬
‫نيست ‪ .‬براي برقراري ارتباط كافيست كه بر روي آيكوني كه بر روي ميز كاري ايجاد شده دو بار كليك‬
‫كنيد پس از وارد كردن كد كاربري و كلمه عبور چندين پيام را مشاهده خواهيد كرد كه نشان‌دهنده روند‬
‫انجام برقراري ارتباط ‪ VPN‬است ‪.‬‬
‫اگر همه چيز به خوبي پيش رفته باشد مي‌توانيد به منابع موجود بر روي سرور ‪ VPN‬دسترسي پيدا كنيد‬
‫اين دسترسي مانند آن است كه بر روي خود سرور قرار گرفته باشيد ‪.‬‬

‫‪25/10/1386‬‬
‫ارتباط سايت به سايت (‪)Site-to-Site VPN‬‬

‫در صورتي كه بخواهيد دو شبكه را از طريق يك سرور ‪ VPN‬دومي به يكديگر وصل كنيد‬
‫عالوه بر مراحل باال بايد چند كار اضافه‌تر ديگري را نيز انجام دهيد ‪.‬‬
‫جزئيات كار به پروتكلي كه مورد استفاده قرار مي‌گيرد ‪ .‬جهت اين كار بايد سرور را در پنجره ‪RRAS‬‬
‫انتخاب كرده و منوي خاص (‪ )Properties‬آن را بياوريد ‪.‬‬
‫در قسمت ‪ General‬مطمئن شويد كه گزينه‌هاي ‪ LAN‬و ‪ Demand Dial‬انتخاب شده باشند (به طور‬
‫پيش گزيده انتخاب شده هستند)‪ .‬هم‌چنين اطمينان حاصل كنيد كه پروتكل را كه قصد روت (‪)Route‬‬
‫كردن آن را داريد فعال است ‪.‬‬
‫پس از مراحل باال نياز به ايجاد يك ‪ Demand Dial‬داريد ‪ ،‬اين كار را مي‌توانيد با يك كليك‬
‫راست بر روي واسط روت (‪ )Routing Interface‬انجام دهيد ‪.‬‬
‫در پنجره بعدي كه ظاهر مي‌شود بايد براي اين ارتباط ‪ VPN‬خود يك نام تعيين كنيد اين نام بايد همان‬
‫اسمي باشد كه در طرف ديگر كاربران با آن به اينترنت متصل مي‌شوند در صورتي كه اين مطلب را‬
‫رعايت نكنيد ارتباط ‪ VPN‬شما برقرار نخواهد شد ‪.‬‬
‫پس از اين مرحله بايد آدرس ‪ IP‬و يا نام دامنه آن را مشخص كنيد و پس از آن نوع پروتكل ارتباطي را‬
‫تعيين نمود ‪.‬‬
‫اما مرحله نهايي تعريف يك مسير (‪ )Route‬بر روي سرور ديگر مي‌باشد بدين منظور بر روي آن‬
‫سرور در قسمت ‪ RRAS ، Demand Dial‬را انتخاب كنيد و آدرس ‪ IP‬و ساب‌نت را در آن وارد كنيد و‬
‫مطمئن شويد كه قسمت‪ Use This to Initiate Demand‬انتخاب شده باشد ‪ .‬پس از انجام مرحله باال‬
‫كار راه‌اندازي اين نوع ‪ VPN‬به پايان مي‌رسد‪.‬‬
‫‪.‬‬

VPN (Virtual Private Network)
25/10/1386
:‫نام کتاب و مؤلف‬
VPN ‫صفحه بخش‬،1385‫ سال چاپ‬، ‫شبکه های کمپیوتری‬،‫ غالم رضأ‬-1
write the exact page number for reference
‫سایت های انترنتی‬
-http://forum.persiantools.com1
-http://www.mcs-8051.com2
3- http://www.iritn.com
4- http://www.p30experts.com
5- http://www.iran4me.com
M.Homayoon (Mushtaq) 36

Monograph Complete

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Monograph Complete

Uploaded by

Copyright:

Available Formats

‫وزارت تحصیالت عالی‬

‫پوهنتون تعلیم و تربیه کابل‬

‫تهیه و ترتیب‪ :‬محمد‪ +‬همايون "مشتاق"‬

‫تــئوري ‪VPN(Virtual Private Network):‬‬

‫)‪M.Homayoon (Mushtaq‬‬ ‫‪1‬‬

‫)‪M.Homayoon (Mushtaq‬‬ ‫‪2‬‬

‫)‪ VPN (Virtual Private Network‬چيست ؟‬

‫‪VPN‬به زبان ساده‪:‬‬

‫)‪M.Homayoon (Mushtaq‬‬ ‫‪3‬‬

‫دسته بندی ‪ VPN‬براساس رمزنگاری‪:‬‬

‫)‪M.Homayoon (Mushtaq‬‬ ‫‪4‬‬

‫مدیریت کاربران ‪VPN:‬‬

‫مدیریت آدرس ها و ‪ Name Server‬ها‪:‬‬

‫)‪M.Homayoon (Mushtaq‬‬ ‫‪5‬‬

‫ساخته شدن تونل‪)Tunneling(:‬‬

‫)‪M.Homayoon (Mushtaq‬‬ ‫‪6‬‬

‫سرويس گيرنده و روتر‬

‫)‪M.Homayoon (Mushtaq‬‬ ‫‪7‬‬

‫)‪M.Homayoon (Mushtaq‬‬ ‫‪8‬‬

‫پروتکل نگهداری تونل‪:‬‬

‫پروتکل تبادل اطالعات تونل‪:‬‬

‫)‪M.Homayoon (Mushtaq‬‬ ‫‪9‬‬

‫عناصر تشکيل دهنده يک‪VPN :‬‬

‫● دستيابی از راه دور(‪:)Remote-Access‬‬

‫شبکه های ‪ LAN‬جزاير اطالعاتی‪:‬‬

‫)‪M.Homayoon (Mushtaq‬‬ ‫‪10‬‬

‫)‪M.Homayoon (Mushtaq‬‬ ‫‪11‬‬

‫پروتکل های )‪VPN (Virtual Private Network‬‬

‫)‪M.Homayoon (Mushtaq‬‬ ‫‪12‬‬

‫فرق سرویس های ‪ L2TP‬و ‪ PPTP‬در چیست؟‬

‫)‪M.Homayoon (Mushtaq‬‬ ‫‪13‬‬

‫پروتكل هاي درون تونل‪:‬‬

‫‪ VPN-Ipsec‬فقط براي اينترنت‬

‫ويژگي هاي امنيتي در ‪IPsec:‬‬

‫)‪M.Homayoon (Mushtaq‬‬ ‫‪14‬‬

‫جريان يك ارتباط ‪Ipsec:‬‬

‫)‪M.Homayoon (Mushtaq‬‬ ‫‪15‬‬

‫مديريت كليدهاي رمز در‪Ipsec :‬‬

‫‪Pre shared keys :‬‬

‫امنــيت ‪VPN (Virtual Private Network):‬‬

‫)‪M.Homayoon (Mushtaq‬‬ ‫‪16‬‬

‫کامپيوتر به سرويس دهنده‬

‫شما چه کسی هستيد؟ تاييد ‪) ) Authentication ،‬‬

‫شما مجاز به انجام چه کاری هستيد؟ مجوز ‪) ) Authorization ،‬‬

‫چه کارهائی را انجام داده ايد؟ حسابداری ‪) ) Accounting ،‬‬

‫)‪M.Homayoon (Mushtaq‬‬ ‫‪17‬‬

‫تکــنالـــوژی های ‪VPN:‬‬

‫سخت افزارهای اختصاصی نظير يک " کانکتور ‪ "VPN‬و يا يک فايروال ‪PIX‬‬

‫سرويس دهنده اختصاصی ‪ VPN‬بمنظور سرويُس های ‪Dial-up‬‬

‫شبکه ‪ VPN‬و مرکز مديريت سياست ها‬

‫‪ -‬فايروال ‪ .PIX‬فايروال )‪ PIX(Private Internet eXchange‬قابليت هائی نظير ‪ ، NAT‬سرويس‬

‫)‪M.Homayoon (Mushtaq‬‬ ‫‪18‬‬

‫عبور از هر گونه فیلتر و استفاده از سایتهای فیلتر شده‬ ‫‪‬‬

‫مزایای استفاده از این سرویس‬

‫‪1- ‬برخورداری از يک ‪ IP‬آمريکايي به هنگام استفاده از اينترنت‬

‫)‪M.Homayoon (Mushtaq‬‬ ‫‪19‬‬

‫‪2-‬امکان تبادل اطالعات در يک تونل رمزگذاری شده‬

‫‪ 3-‬ستيابی به سايتهايي که به هر علتی مسدود گرديده اند‬

‫‪5-‬امکان برقراری ارتباطات تلفنی رايگان با آمريکا و کانادا‬

‫)‪M.Homayoon (Mushtaq‬‬ ‫‪20‬‬

‫‪8-‬و از همه مهمتر افزايش سرعت کار با اينترنت‪:‬‬

‫راه اندازي يا پيكربندي‬

‫‪Start > Control Panel > Network Connections‬‬

‫)‪M.Homayoon (Mushtaq‬‬ ‫‪21‬‬