Himoyalangan korporativ tarmoqlarni qurish uchun VPN echimlar

vazifasini VPN vazifasini madad-lash bilan birga olib borishi mumkin. Bunday 
echim o‘zining afzalliklari va kamchiliklariga ega. Afzalligi — marshrutlash va 
VPN vazifalarini birgalikda ma’murlash qulayligidir. Korxona tarmoqlararo ekranni 
ish-latmasdan korporativ tarmoq himoyasini faqat ham tarmoqdan foydalanish 
bo‘yicha, ham uzatiladigan trafikni shifrlash bo‘yicha himoyalash vazifala-rini 
birgalikda hal etuvchi marshrutizator yordamida tashkil etgan hollarda 
mashrutizatorlarni VPNni madadlashda ishlatilishi ayniqsa foydalidur. Ushbu 
echimning kamchiligi marshrutlash bo‘yicha asosiy amal-larning trafikni ko‘p 
mehnat sarfini talab etuvchi shifrlash va autenti-fikatsiyalash amallari bilan birga 
olib borilishi natijasida marshruti-zator unumdorligiga quyiladigan talablarning 
oshishi bilan bog‘liq. Marshrutizatorlarning unumdorligini oshirishga shifrlash 
vazifalarini apparat madadlash orqali erishiladi. Hozirda barcha marshrutizator va 
boshqa tarmoq qurilmalarini etakchi ishlab chiqaruvchilar o‘zlarining mahsulotlarida 
turli VPN-protokollarini madadlaydilar. Bu sohada Cisco Systems va 3Com 
kompaniyalari lider hisoblanadilar. Cisco Systems kompaniyasi o‘zlari ishlab 
chiqqan marshrutizatorlarga eng keng tarqalgan standartlar asosida VPNlarni 
qurishga 
imkon 
beruvchi 
kanal 
sathi 
proto-kolini 
madadlovchi 
IOS 
11.3(Internetwork Operation System 11.3) va tarmoq sathi protokoli IPSecmi kiritdi. 
L2F protokoli avvalroq IOS operatsion tizimning komponentiga aylandi va Cisco 
ishlab chiqaradigan barcha tarmoqlararo aloqa va masofadan foydalanish 
qurilmalarida madadlanadi. 
Cisco marshrutizitorlarida VPN vazifalari butunlay dasturiy yo‘l bilan yoki 
shifrlash soprotsessori bo‘lgan maxsus kengaytirish platasidan foydalanilgan holda 
amalga oshirilishi mumkin. Oxirgi variant VPN amallarida marshrutizator 
unumdorligini anchagina oshiradi. Cisco Systems kompaniyasi tomonidan ishlab 
chiqilgan VPN qurish texnologiyasi yuqori unumdorligi va moslanuvchanligi bilan 
ajralib turadi. Unda "toza" yoki inkapsulyasiya qilingan ko‘rinishda uzatiluvchi har 
qanday 
IP-oqim 
uchun 
shifrlash 
bilan 
tunnellash 
ta’minlanadi. Cisco 
kompaniyasining 
marshrutizatorlari 
asosida 
VPN-kanallarini 
qurish 
operatsiontizimining vositalari yordamida Cisco IOS 12.x. versiyasidan boshlab 
amalga oshirila-di. Agar mazkur operatsion tizim kompaniyaning boshqa 
bo‘limlaridagi Cisco chegara marshrutizatorlarida o‘rnatilgan bo‘lsa, bir 

marshrutizatordan ikkinchisiga "nuqta-nuqta" turidagi virtual himoyalangan 
tunnellar majmuasidan iborat bo‘lgan korporativ VPN tarmoqni shakllantirish imko-
niyati bo‘ladi. 
 Cisco marshrutizatorlari asosida korporativ VPN tarmogini qurishning 
namunaviy sxemasi. 
Marshrutizatorlar asosida VPNlarni qurishda esda tutish lozimki, bunday 
yondashishning o‘zi kompaniyaning umumiy axborot xavfsizligini ta’minlash 
muammosini hal etmaydi, chunki barcha ichki axborot resurslar baribir tashqaridan 
xujum qilish uchun ochiq qoladi. Bu resurslarni himoyalash uchun, odatda, chegara 
marshrutizatorlaridan keyin joylashgan tarmoqlararo ekranlardan foydalaniladi. 
Cisco 1720 VPN Access Router marshrutizatori katta bo‘lmagan va o‘rtacha 
korxonalarda himoyalangan foydalanishini tashkil etishga atalgan. 
Bu marshrutizator Internet va intratarmoqlardan foydalanishni tashkil etishga zarur 
bo‘lgan imkoniyatlarni ta’minlaydi va Cisco IOS dasturiy ta’minot asosidagi virtual 
xususiy tarmoqlarni tashkil etish vazifala-rini madadlaydi. Cisco IOS operatsion 
tizimi ma’lumotlarni himoyalash, xizmat sifatini boshqarish va yuqori ishonchililikni 
ta’minlash bo‘yicha VPN vazifalarining juda keng to‘plamini ta’minlaydi. 

Cisco 1720 marshrutizatori ma’lumotlar himoyasining quyidagi va-zifalarini 
bajaradi: 
- tarmotslararo ekranlash. Cisco IOS Firewall komponenta lokal tarmoqlarni 
xujumlardan himoyalaydi. Foydalanishning kontekstli nazo-rati CBAC (Context-
based access control) funksiyasi ma’lumotlarni dina-mik yoki xolatlarga asoslangan, 
ilovalar bo‘yicha differensiallangan filtrlashni bajaradi. Bu funksiya samarali 
tarmoqlararo ekranlash uchun juda muhim hisoblanadi. Cisco IOS Firewall 
komponenta qator boshqa foy-dali vazifalarni ham, xususan, "xizmat qilishdan voz 
kechish" kabi xujum-larni aniqlash va oldini olish, Javami blokirovka etish, audit va 
vaqtning real masshtabida ogohlantirishlarni tarqatish vazifalarini ba-jaradi. 
- shifrlash. IPSec protokolidagi DES va Triple DES shifrlash algo-ritmlarini 
madadlash ma’lumotlarni konfidensialligi va yaxlitligini va ma’lumotlar manbaini 
autentifikatsiyalashni (ma’lumotlar global tarmoqdan o‘tganidan so‘ng) ta’minlash 
maqsadida ishonchli va standart shifrlaydi. 
- tunnellash. Tunnellashning IPSec, GRE (Generic Routing Encapsulation), 
L2F va L2TP standartlari ishlatiladi. L2F va L2TP standartlari masofadagi 
foydalanuvchilarning korxona lokal tarmog‘ida o‘rnatilgan Cisco 1720 
marshrutizatorgacha virtual tunnel o‘tkazganlarida ishlatiladi. Bunday qo‘llanishda 
korxonada masofadan foydalanish serveriga ehtiyoj qolmaydi va shaharlararo yoki 
xalqaro qo‘ng‘iroqlar uchun to‘lovi tejaladi. 
- kurilmalarni autentifikatsiyalash va kalitlarni boshsarish. IPSec katta 
tarmoqlarda ma’lumotlar va qurilmalarni masshtablanuvchi autenti-fikatsiyalashni
ta’minlovchi kalitlarni boshqarish protokoli IKE, raqamli sertifikatlar X.509 
versiya 3, sertifikatlarni boshqaruvchi pro-tokol CEP, hamda Verisign va Entrust 
kompaniya sertifikat serverlari ma-dadlanadi. 
- VPNmtm mijoz dasturiy ta’minoti. IPSec va L2TP protokolla-rining standart 
versiyalari bilan ishlovchi harqanday mijoz Cisco IOSbilan o‘zaro aloqa qilishi 
mumkin. 
- foydalanuvchilarni autentifikatsiyalash. Buning uchun PAP, CHAP 
protokllari, TACACS+ va RADIUS tizimlari, foydalanish tokenlari ka-bi 
vositalardan foydalanilida. 

Virtual himoyalangan tarmoqlar nafaqat ma’lumotlarni himoyalash, balki 
himoyalashning yuqori saviyasi QoSmi (Quality of Service) ta’minla-shi lozim. 
Cisco 1720 marshrutizatori QoSmi quyidagi boshqarish mexa-nizmlarini 
madadlaydi: 
- foydalanishning kelishilgan tezligi CAR (Committed Access Rate) ilovalar 
yoki foydalanuvchilar bazisida quiydagi uchta muhim vazifani bajaradi: 
• trafik turini turkumlaydi; 
• berilgan ilovaga ruxsat etilgan o‘tkazish qobiliyatining maksimal 
darajasini o‘rnatadi; 
• trafikning har bir turi ustivorligini belgilaydi; 
- siyosat asosida marshrutlash (Policy Routing) ham trafikni tur-kumlaydi va 
ustivorlaydi hamda trafikning qaysi turini marshrutizator-ning mos chiqish yo‘li 
portiga jo‘natish lozimligini hal etadi; 
- mulohazali odilona navbat WFQ (Weighted Fair Queneing) trafik-ni 
hisobga olgan holda maqbul javob vaqtini ta’minlaydi; 
- protokol RSVP ilovalarga yo‘lning boshidan oxirigacha kafolat-langan 
o‘tkazish qobiliyatini rezervlashga imkon beradi. 
Marshrutizatorning moslashuvchanligi modulli konstruksiya va ikki-ta slotda 
o‘rnatiluvchi interfeys WAN-kartalari to‘plami orqali ta’min-lanadi. Cisco 1720 
modelida Cisco 1600, 2800, va 3600 modellarda ishlati-ladigan WAN-kartalardan 
foydalaniladi. 
Kompaniya 3Com VPN texnologiyani amalga oshirishda boshidan stan-
dartlarni ko‘zga tutgan edi. VPN ni madadlash uning NetBuilder II, Super Stack II 
NetBuilder marshrutizatorlariga Office Connect Net Builder Platform larida 
o‘rnatilgan. 
3 Com kompaniyasi PPTP va L2TP protokollarni madadlovchi masofa-dan 
foydalaniluvchi konsentratorlarni yirik ishlab chiqaruvchilaridan biridir. 3Com 
kompaniyasining VPN tarmoqlari IPSec bilan birga ishla-tiladi va tashqi kataloglar, 
jumladan Novell NDS va Windows NT Directory Serviceslar bilan o‘zaro aloqa 
qilish uchun ishlab chiqilgan. 
Kompaniya Web-texnologiyaga asoslangan va VPN yuklanganligini na-
zoratlashga, hamda yuz beruvchi xodisalar asosida statistika va axborotni yig‘ishga 

atalgan dasturiy ilova Transcend Ware Secure VPN Manager ni ham ishlab chiqdi. 
Undan tashqari 3Com kriptohimoyalangan tunnellarni osongina yaratishga imkon 
beruvchi Web asosidagi instrumentariyni ishlab chiqaradi. 
Internet Devices kompaniyasining Fort Knox marshrutizatorlarida tez-lik va 
quvvat uyg‘unlashgan. Undagi tarmoqni himoyalashni ta’minlashga yo‘naltirilgan 
IP-trafikni ishlash vazifalari ruyxatining kengligi uning afzalligidir. Fort Knox 
marshrutizatori tarmoqlararo ekran reji-mida ishlashi, NAT standarti bo‘yicha 
adreslarni translyasiyalashi, xav-fsizlik siyosatini boshqarishi, Web-sahifalar va 
DNS jadval yozuvlarini keshlashi, auditni bajarishi mumkin. Odatda Fort Knox 
korporativ tarmoq chegarasida, korporativ tarmoqni global tarmoq bilan ulovchi 
marshrutiza-tordan keyin o‘rnatiladi. Demak, u boshqa lokal tarmoqlar bilan VPN-
aloqani o‘rnatish va tarmoqlararo ekranlar kabi foydalanishni nazorat-lashning turli 
qoidalarini shakllantirishi mumkin. Fort Knoxda NAT ad-reslarini translyasiyalash 
funksiyasining mavjudligi, unga ichki IP-adreslarni berkitish va marshrutizatorlar 
trafigini qayta yo‘naltirish imkonini beradi. Bu korporativ tarmoq ma’murlarini 
VPNni qurishda marshrutizatorlarni yangidan konfiguratsiyalashdan ozod etadi. Fort 
Knox funksiyalari to‘plamining kengligiga qaramay uning narxi oddiy marshru-
tizator narxiga teng. 

Yüklə 1,6 Mb.

Dostları ilə paylaş: