نظرة عامة على Cisco RV Routers VPN وأفضل الممارسات

خيارات التنزيل

  • PDF     (315.0 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (94.0 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (95.1 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:١٥ يناير ٢٠٢٠
معرّف المستند:1585753960779450

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

الهدف

الهدف من هذا المستند هو تقديم نظرة عامة على أفضل ممارسات الشبكة الخاصة الظاهرية (VPN) لأي شخص جديد على موجهات سلسلة RV من Cisco.

جدول المحتويات

المقدمة

يبدو أنه منذ زمن بعيد كان المكان الوحيد الذي يمكن أن تعمل فيه هو المكتب. قد تتذكرون، بالعودة إلى اليوم، الاضطرار للذهاب إلى المكتب في نهاية الأسبوع لتسوية مسألة عمل. لا توجد طريقة أخرى للحصول على البيانات من موارد الشركة إلا إذا كنت في مكتبك فعليا. لقد ولت تلك الأيام. في أوقات اليوم، يمكنك أن تكون في أثناء تنقلك، أو أن تمارس أعمالك من المنزل، أو من مكتب آخر، أو في المقهى، أو حتى من بلد آخر. الجانب السلبي هو أن المخترقين يتطلعون دائما إلى الحصول على بياناتك الحساسة. مجرد إستخدام الإنترنت العامة ليس آمنا. ما الذي يمكنك فعله للحصول على المرونة والأمان؟ إعداد شبكة خاصة ظاهرية (VPN)!

يسمح اتصال الشبكة الخاصة الظاهرية (VPN) للمستخدمين بالوصول إلى البيانات وإرسالها واستقبالها من شبكة خاصة من خلال الانتقال عبر شبكة عامة أو مشتركة مثل الإنترنت ولكن مع الاستمرار في ضمان وجود اتصال آمن ببنية تحتية لشبكة ضمنية لحماية الشبكة الخاصة ومواردها.

يقوم نفق الشبكة الخاصة الظاهرية (VPN) بإنشاء شبكة خاصة يمكنها إرسال البيانات بشكل آمن باستخدام التشفير لترميز البيانات والمصادقة لضمان هوية العميل. تستخدم مكاتب الشركات غالبا اتصال الشبكة الخاصة الظاهرية (VPN) نظرا لأنه من المفيد والضروري على حد سواء للسماح لموظفيها بالوصول إلى شبكتهم الخاصة حتى إذا كانوا خارج المكتب.

عادة، تقوم الشبكات الخاصة الظاهرية (VPN) من موقع إلى موقع بتوصيل الشبكات بالكامل ببعضها البعض. فهي توسع الشبكة وتسمح لموارد الكمبيوتر من موقع واحد بأن تكون متوفرة في مواقع أخرى. من خلال إستخدام موجه يدعم شبكة VPN، يمكن لأي شركة توصيل مواقع ثابتة متعددة عبر شبكة عامة مثل الإنترنت.

يسمح إعداد العميل إلى الموقع لشبكة VPN لمضيف بعيد، أو عميل، بالعمل كما لو كان موجودا على الشبكة المحلية نفسها. يمكن إعداد اتصال VPN بين الموجه ونقطة نهاية بعد تكوين الموجه لاتصال الإنترنت. يعتمد عميل VPN على إعدادات موجه VPN بالإضافة إلى متطلبات الإعدادات المتطابقة لإنشاء اتصال. كما أن بعض تطبيقات عميل الشبكة الخاصة الظاهرية (VPN) خاصة بالنظام الأساسي، كما أنها تعتمد على إصدار نظام التشغيل (OS). يجب أن تكون الإعدادات متطابقة تماما أو لا يمكن الاتصال بها.

يمكن إعداد شبكة خاصة ظاهرية (VPN) باستخدام أي مما يلي:

إذا لم تقم من قبل بإعداد شبكة خاصة ظاهرية (VPN)، فستتلقى الكثير من المعلومات الجديدة عبر هذه المقالة. هذا ليس دليل خطوة بخطوة، لكن أكثر من نظرة عامة للمرجع. لذلك، من المفيد قراءة هذه المقالة بأكملها قبل الانتقال إلى إنشاء شبكة خاصة ظاهرية (VPN) على الشبكة لديك ومحاولة إعدادها. وترد في هذه المادة روابط لاتخاذ خطوات محددة.

لا تدعم Cisco منتجات الطرف الثالث بخلاف Cisco، بما في ذلك GreenBow و OpenVPN و Shrew Soft و EZ VPN. وهي مشمولة فقط لأغراض التوجيه. إذا كنت بحاجة إلى دعم بشأن هذه الأمور بخلاف المقالة، يجب عليك الاتصال بالطرف الثالث للحصول على الدعم.

فوائد إستخدام اتصال شبكة VPN

  • يساعد إستخدام اتصال الشبكة الخاصة الظاهرية (VPN) على حماية بيانات الشبكة السرية ومواردها.
  • وهو يوفر سهولة الوصول وسهولة الوصول للعمال عن بعد أو موظفي الشركات لأنهم سيتمكنون من الوصول بسهولة إلى موارد المكتب الرئيسية دون الحاجة إلى أن يكونوا موجودين ماديا، ومع ذلك، من الحفاظ على أمن الشبكة الخاصة ومواردها.
  • يوفر الاتصال باستخدام اتصال الشبكة الخاصة الظاهرية (VPN) مستوى أعلى من الأمان مقارنة بأساليب الاتصال الأخرى عن بعد. خوارزمية تشفير متقدمة تجعل هذا ممكنا، لحماية الشبكة الخاصة من الوصول غير المصرح به.
  • المواقع الجغرافية الفعلية للمستخدمين محمية ولا تتعرض للشبكات العامة أو المشتركة مثل الإنترنت.
  • تسمح الشبكة الخاصة الظاهرية (VPN) بإضافة مستخدمين جدد أو مجموعة مستخدمين جدد دون الحاجة إلى مكونات إضافية أو تكوين معقد.

مخاطر إستخدام اتصال شبكة VPN

  • قد تكون هناك مخاطر أمان بسبب التكوين الخاطئ. بما أن تصميم شبكة خاصة ظاهرية (VPN) وتنفيذه يمكن أن يكونا معقدين، فمن الضروري أن يعهد بمهمة تكوين الاتصال بمحترف مطلع وذو خبرة للتأكد من عدم تعرض أمان الشبكة الخاصة للخطر.
  • قد يكون أقل موثوقية. نظرا لأن اتصال الشبكة الخاصة الظاهرية (VPN) يتطلب اتصالا بالإنترنت، فمن المهم أن يكون لديك موفر يتمتع بسمعة معهودة وموضوعة لتوفير خدمة إنترنت ممتازة وضمان أقل وقت ممكن إلى عدم حدوث وقت توقف عن العمل.
  • إذا حدثت حالة تكون فيها الحاجة إلى إضافة بنية أساسية جديدة أو مجموعة جديدة من التكوينات، فقد تنشأ مشاكل فنية بسبب عدم التوافق، خصوصا إذا كان يتضمن منتجات أو موردين مختلفين غير الذين تستخدمها بالفعل.
  • يمكن أن تحدث سرعات توصيل بطيئة. إذا كنت تستخدم اتصال ISP يوفر خدمة VPN مجانية، فقد يكون من المتوقع أن يكون إتصالك بطيئا أيضا نظرا لأن هؤلاء الموفرين لا يعطون أولوية لسرعات الاتصال. من المهم ملاحظة أن سعة معالجة الشبكة الخاصة الظاهرية (VPN) تعتمد على إمكانات أجهزة الموجه.

للحصول على مزيد من المعلومات حول كيفية عمل الشبكات الخاصة الظاهرية (VPN)، انقر هنا.

نصائح للاستخدام عند تكوين شبكة VPN

  1. أستخدم شبكة LAN IP فرعية مختلفة في كلا النهايتين أثناء تكوين VPN بين المواقع المختلفة. على سبيل المثال، إذا كان الموقع الذي تتصل به يستخدم مخطط عنونة ‪192.168.xx‬، فقد ترغب في استخدام شبكة فرعية بالنمط ‪10.xxx‬ أو ‪172.16.xx‬ ‏- ‪172.31.xx‬. خيار آخر هو أن تكون لديك أقنعة شبكة فرعية مختلفة. عندما تقوم بتغيير عنوان IP للموجه الخاص بك، ستقوم الأجهزة الموجودة على بروتوكول التكوين الديناميكي للمضيف (DHCP) تلقائيا بانتقاء عنوان IP في هذه الشبكة الفرعية.
  2. أستخدم IP العام الثابت على واجهة WAN الخاصة بالموجه لاتصال VPN الثابت.
  3. تأكد من أن مستوى التشفير والمصادقة المحدد هو نفسه الموجه الذي ترغب في إنشاء نفق VPN للشبكة الخاصة الظاهرية (VPN).
  4. تأكد من أن العمر الافتراضي للمفتاح (PSK) والمفتاح الذي تم إدخاله هو نفسه الخاص بالموجه البعيد. يمكن أن تكون وحدة دعم البرامج (PSK) هي ما تريده، فما عليها سوى مضاهاة الجهاز في الموقع ومع العميل عند إعداده كعميل على جهاز الكمبيوتر الخاص به. على حسب الجهاز، قد تكون هناك رموز محظورة لا يمكنك إستخدامها. يقصد ب Key Life Lifetime عدد مرات تغيير النظام للمفتاح. يفضل الحصول على شهادة لأنها تعتبر أكثر أمانا.
  5. بالنسبة لمعظم شبكات VPN، لا يحتاج العملاء إلى شهادة لاستخدام شبكة VPN، ولكنها فقط للتحقق من خلال الموجه. على سبيل المثال، يتطلب OpenVPN كل من شهادات العميل والموقع.
  6. تعيين العمر الافتراضي الخاص بك في المرحلة الأولى أطول من العمر الافتراضي للمرحلة الثانية. إذا جعلت المرحلة الأولى أقصر من المرحلة الثانية، ثم سيكون عليك إعادة التفاوض النفق ذهابا وإيابا بشكل متكرر مقارنة بنفق البيانات. يحتاج نفق البيانات إلى المزيد من الأمن، لذا فمن الأفضل أن تكون مدة البقاء في المرحلة الثانية أقصر من المرحلة الأولى.
  7. قم بتغيير جميع كلمات المرور إلى شيء أكثر تعقيدا.

أنواع شبكة VPN

طبقة مآخذ التوصيل الآمنة (SSL)

تدعم الموجهات من السلسلة Cisco RV34x شبكة VPN خاصة ب SSL، باستخدام AnyConnect. يحتوي RV160 و RV260 على خيار إستخدام OpenVPN، وهو آخر SSL VPN. يسمح خادم SSL VPN للمستخدمين عن بعد بإنشاء نفق VPN آمن باستخدام مستعرض ويب. تتيح هذه الميزة الوصول السهل إلى مجموعة كبيرة من موارد الويب والتطبيقات التي تدعم الويب باستخدام دعم مستعرض بروتوكول نقل النص التشعبي (HTTP) الأصلي عبر SSL Hypertext Transfer Protocol Secure (HTTPS).

يسمح SSL VPN للمستخدمين بالوصول عن بعد إلى الشبكات المحظورة، باستخدام مسار آمن ومصادق من خلال تشفير حركة مرور الشبكة.

هناك خياران لإعداد الوصول في SSL:

  1. شهادة موقعة ذاتيا: شهادة موقعة من منشئها. لا يوصى بذلك ويجب إستخدامه فقط في بيئة الاختبار.
  2. شهادة موقعة من CA: هذه أكثر أمانا وموصى بها بشدة. مقابل رسوم، يتحقق طرف ثالث من شرعية الشبكة وينشئ شهادة مرجع مصدق يتم إرفاقها بالموقع. لمزيد من المعلومات عن شهادات CA، راجع قسم الشهادات في هذه المقالة.

هناك إرتباطات لمقالات على AnyConnect ضمن هذا المستند. للحصول على نظرة عامة على AnyConnect، انقر هنا.

ملف تعريف IPsec

شبكات VPN (EZvpn) و GreenBow و Shrew Soft سهلة هي شبكات VPN لأمان بروتوكول الإنترنت (IPSec). توفر شبكات VPN IPSec أنفاقا آمنة بين نظامين أو من عميل إلى موقع. يجب إرسال الحزم التي تعتبر حساسة من خلال هذه الأنفاق الآمنة. يجب إستخدام المعلمات التي تتضمن خوارزمية التجزئة وخوارزمية التشفير وعمر المفتاح والوضع لحماية هذه الحزم الحساسة من خلال تحديد خصائص هذه الأنفاق. بعد ذلك، عندما يرى نظير IPsec حزمة حساسة كهذه، فإنه يقوم بإعداد النفق الآمن المناسب وإرسال الحزمة عبر هذا النفق إلى النظير البعيد.

عند تنفيذ IPsec في جدار حماية أو موجه، فإنه يوفر أمانا قويا يمكن تطبيقه على جميع حركة المرور التي تعبر النطاق. لا تتحمل حركة المرور داخل الشركة أو مجموعة العمل نفقات المعالجة المتعلقة بالأمان الزائدة.

لكي يتم تشفير طرفي نفق VPN وتكوينه بنجاح، يحتاج كلا منهما إلى الموافقة على طرق التشفير وفك التشفير والمصادقة. يعد ملف تعريف IPsec هو التكوين المركزي في IPsec الذي يحدد الخوارزميات مثل التشفير والمصادقة ومجموعة Diffie-Hellman (DH) للتفاوض من المرحلة الأولى والمرحلة الثانية في الوضع التلقائي بالإضافة إلى وضع الحفظ اليدوي.

تتضمن المكونات الهامة ل IPsec المرحلة 1 والمرحلة 2 من تبادل مفاتيح الإنترنت (IKE).

والغرض الأساسي من المرحلة الأولى من IKE هو مصادقة نظراء IPSec وإنشاء قناة آمنة بين الأقران لتمكين عمليات تبادل IKE. تؤدي المرحلة الأولى من IKE الوظائف التالية:

  • مصادقة هويات نظائر IPSec وحمايتها
  • التفاوض على سياسة اقترانات أمان IKE (SA) المطابقة بين النظراء لحماية تبادل IKE
  • تنفيذ تبادل Diffie-Hellman مصدق مع النتيجة النهائية لمطابقة مفاتيح سرية مشتركة
  • إعداد نفق آمن للتفاوض حول معلمات المرحلة الثانية من IKE
  • يحدث في الوضعين، الوضع الرئيسي والوضع المتميز

الغرض من المرحلة الثانية من IKE هو التفاوض على IPSec SAs لإعداد نفق IPSec. تؤدي المرحلة الثانية من IKE الوظائف التالية:

  • يقوم بالتفاوض على معلمات IPSec SA المحمية بواسطة IKE SA موجود
  • إنشاء جمعيات أمان IPSec
  • إعادة التفاوض بشكل دوري على وكيل خدمة IPSec لضمان الأمان
  • إجراء تبادل إضافي بين Diffie-hellman بشكل إختياري
  • يتم إستخدام وضع واحد فقط، الوضع السريع

إذا تم تحديد السرية التامة لإعادة التوجيه (PFS) في سياسة IPSec، يتم إجراء تبادل DH جديد مع كل وضع سريع، مما يوفر مواد تثبيت تحتوي على قدر أكبر من الانتروبيا (العمر الافتراضي للمواد الأساسية) وبالتالي مقاومة أكبر للهجمات المشفرة. ويتطلب كل تبادل لوحدة معالجة الرسومات (DH) تكلفة كبيرة، مما يزيد من إستخدام وحدة المعالجة المركزية (CPU) ويتطلب تكلفة أداء عالية.

بروتوكول الاتصال النفقي من نقطة إلى نقطة (PPTP)

PPTP هو بروتوكول شبكة يستخدم لإنشاء أنفاق VPN بين الشبكات العامة. كما تعرف خوادم PPTP باسم خوادم شبكة الاتصال الخاصة الظاهرية (VPDN). يستخدم PPTP أحيانا عبر بروتوكولات أخرى لأنه أسرع ولديه القدرة على العمل على الأجهزة المحمولة. ومع ذلك، من المهم ملاحظة أنها ليست آمنة بنفس القدر مثل الأنواع الأخرى من شبكات VPN. هناك أساليب متعددة للاتصال بحسابات نوع PPTP. انقر فوق الارتباطات لمعرفة المزيد:

تضمين التوجيه العام

تضمين التوجيه العام (GRE) هو بروتوكول نفق يوفر نهجا عاما بسيطا لنقل حزم بروتوكول عبر بروتوكول آخر من خلال التضمين.

تتضمن GRE حمولة، أي، حزمة داخلية يلزم تسليمها إلى شبكة وجهة داخل حزمة IP خارجية. ويتصرف نفق GRE كإرتباط ظاهري من نقطة إلى نقطة يحتوي على نقطتي نهاية يتم تحديدهما بواسطة مصدر النفق وعنوان وجهة النفق.

وترسل نقاط نهاية النفق الحمولات من خلال أنفاق GRE عن طريق توجيه الحزم المغلفة من خلال شبكات IP المتدخلة. لا تقوم موجهات IP الأخرى على طول الطريق بتحليل الحمولة (الحزمة الداخلية)، ولكنها تقوم فقط بتحليل حزمة IP الخارجية بينما تقوم بإرسالها نحو نقطة نهاية نفق GRE. عند الوصول إلى نقطة نهاية النفق، تتم إزالة تضمين GRE، ويتم إعادة توجيه الحمولة إلى وجهة الحزمة النهائية.

يتم تضمين مخططات البيانات في شبكة لأسباب متعددة، مثل عندما يريد خادم مصدر التأثير على المسار الذي تسلكه الحزمة للوصول إلى مضيف الوجهة. يعرف الخادم المصدر أيضا باسم خادم التضمين.

يتضمن تضمين IP في IP إدراج رأس IP خارجي عبر رأس IP الموجود. يشير عنوان المصدر والوجهة في رأس IP الخارجي إلى نقاط نهاية نفق IP داخل IP. يتم إستخدام مكدس رؤوس IP لتوجيه الحزمة عبر مسار محدد مسبقا إلى الوجهة، شريطة أن يعرف مسؤول الشبكة عناوين الاسترجاع للموجهات التي تنقل الحزمة.

يمكن إستخدام آلية الاتصال النفقي هذه لتحديد مدى التوفر وزمن الوصول لمعظم بنى الشبكة. تجدر الإشارة إلى أنه لا يجب تضمين المسار بالكامل من المصدر إلى الوجهة في الرؤوس، ولكن يمكن إختيار جزء من الشبكة لتوجيه الحزم.

بروتوكول الاتصال النفقي للطبقة 2

لا يوفر L2TP آليات تشفير لحركة المرور التي تنقلها. وبدلا من ذلك، فإنه يعتمد على بروتوكولات الأمان الأخرى، مثل IPSec، لتشفير البيانات.

يتم إنشاء نفق L2TP بين مركز الوصول إلى L2TP (LAC) وخادم شبكة L2TP (LNS). كما يتم إنشاء نفق IPSec بين هذه الأجهزة ويتم تشفير حركة مرور نفق L2TP بالكامل باستخدام IPSec.

بعض الشروط الأساسية مع L2TP:

  • CHAP - بروتوكول مصادقة مصافحة الاستبيان. بروتوكول مصادقة من نقطة إلى نقطة (PPP).
  • مركز الوصول إلى L2TP (LAC) - يمكن أن تكون LAC خادم وصول شبكة Cisco متصل بشبكة الهاتف المحولة العامة (PSTN). لا تحتاج منطقة أمريكا اللاتينية ومنطقة البحر الكاريبي إلا إلى تنفيذ وسائط للتشغيل عبر بروتوكول L2TP. يمكن أن تتصل وحدة التحكم في الوصول (LAC) بشبكة LNS باستخدام شبكة منطقة محلية أو شبكة واسعة النطاق مثل ترحيل الإطارات العام أو الخاص. وتعد لجنة أمريكا اللاتينية ومنطقة البحر الكاريبي هي بادئ المكالمات الواردة ومتلقي المكالمات الصادرة.
  • خادم شبكة L2TP (LNS) - يمكن أن يعمل أي موجه Cisco تقريبا متصل بشبكة منطقة محلية أو شبكة واسعة النطاق، مثل ترحيل الإطارات العام أو الخاص، كشبكة LNS. هو جانب الخادم لبروتوكول L2TP ويجب أن يعمل على أي نظام أساسي ينهي جلسات PPP. LNS هو بادئ المكالمات الصادرة ومتلقي المكالمات الواردة. ويصف الشكل 1 روتين الاتصال بين الجيش الوطني الحر والجيش الوطني الليبي.
  • شبكة الطلب الخاصة الظاهرية (VPDN) - نوع من شبكات VPN الخاصة بالوصول التي تستخدم PPP لتقديم الخدمة.

إذا كنت ترغب في الحصول على مزيد من المعلومات حول L2TP، فانقر فوق الارتباطات التالية:

شبكات VPN المتوافقة مع موجهات VPN من سلسلة Cisco RV

الطراز RV34X RV32X الطراز RV160X/RV260X
IPSec (IKEv1)
زبابة نعم نعم نعم
غرينبو نعم نعم نعم
عميل Mac المدمج نعم نعم لا
iPhone/iPad نعم نعم لا
أندرويد نعم نعم نعم
L2TP/IPSec نعم (PAP) لا لا
PPTP نعم (PAP) نعم* نعم (PAP)
غير ذلك
AnyConnect نعم لا لا
OpenVPN لا نعم نعم
IKEv2
Windows نعم* لا نعم*
ماك نعم لا نعم
آي فون نعم لا نعم
أندرويد نعم لا نعم

تقنية VPN

الأجهزة المدعومة

العملاء المدعومون*

التفاصيل والتحذيرات

IPSec (IKEv1)

RV34X و RV32X و RV160X/RV260X

أصلي: Mac و iPhone و iPad و Android


آخر: EasyVPN (عميل Cisco VPN)، ShrewSoft، Greenbow

أكثر سهولة في الإعداد واستكشاف الأخطاء وإصلاحها والدعم. يتوفر على جميع الموجهات، وتتسم بسهولة الإعداد (للجزء الأكبر)، ولها أفضل تسجيل لاستكشاف الأخطاء وإصلاحها. وتتضمن معظم الأجهزة. وهذا هو السبب الذي يجعلنا نوصي عادة بالشركتين (المجانيتين والأعمالهما) والزنزرقاء (غير المجانيتين، بل المشتغلتين).

بالنسبة لنظام التشغيل Windows، لدينا عملاء ShrewSoft و Greenbow كخيارات، نظرا لأن Windows لا يحتوي على عميل VPN أصلي ل IPSec. بالنسبة ل ShrewSoft و Greenbow، انها أكثر انخراطا، لكنها ليست صعبة. وبمجرد إعداد توصيفات العميل لأول مرة، يمكن تصديرها ثم إستيرادها على عملاء آخرين.

بالنسبة لموجهات RV160X/RV260X، نظرا لعدم توفر خيار الشبكة الخاصة الظاهرية (VPN) السهل، يتعين علينا إستخدام خيار عميل الطرف الثالث، والذي لا يعمل مع Mac أو iPhone أو iPad. يمكننا إعداد عملاء ShrewSoft و WelcomeBow و Android للاتصال. بالنسبة لعملاء أجهزة Mac و iPhone و iPad، أوصي باستخدام بروتوكول IKEv2 (انظر أدناه).

AnyConnect

الطراز RV34X

Windows و Mac و iPhone و iPad و Android

يطلب بعض العملاء حل Cisco بالكامل وهذا هو الحال. من السهل إعداد السجلات وتسجيلها، إلا أنه من الصعب فهم هذه السجلات. يتطلب تكلفة تكبد متطلبات ترخيص العميل. هو حل Cisco كامل ويتم تحديثه. لا يعد أستكشاف الأخطاء وإصلاحها أمرا سهلا مثل IPSec، ولكنه أفضل من خيارات شبكات VPN الأخرى.

L2TP/IPSec

الطراز RV34X

أصلي: Windows

هذا ما أوصي به للعملاء الذين يحتاجون إلى إستخدام عميل VPN المضمن في Windows. إثنين من المحاذير مع هذا هو:

1. ندعم مصادقة PAP فقط عند إستخدام المصادقة المحلية. يجب أن نذهب إلى كل عميل ونحدد تشفيرا إختياريا أو لا تشفير وتعطيل خيارات MS-CHAP وتمكين PAP. هذا يعني أن اسم المستخدم/كلمة المرور يتم إرسالها في الوضوح. إنها ليست صفقة كبيرة نظرا لأنه يتم تشفير كل شيء باستخدام بروتوكول IPSec، وعليك الإعداد على كل عميل. وفي Windows، يمكن تكوين هذا الجهاز، ولكن ليس على أجهزة Mac أو iPhone أو iPad أو نظام التشغيل Android، لذلك يمكن إستخدامه فقط من قبل عملاء Windows ما لم يكن لديهم خادم مصادقة خارجي مثل RADIUS أو LDAP.

2. إذا كان الموجه وراء جهاز NAT، فسيفشل الاتصال على أجهزة Windows. ال workaround أن يخلق سجل مفتاح على كل زبون أن يسمح NAT على كل من الزبون والموجه.

IPSec (IKEv2)

RV34X و RV160X/RV260X

أصلي: Windows و Mac و iPhone و iPad و Android

يتطلب عميل Windows الأصلي ل IKEv2 مصادقة الشهادة، والتي تتطلب بنية PKI أساسية لأن كل من الموجه وكل العملاء يحتاجون إلى الحصول على شهادات من نفس CA (أو مرجع مصدق آخر موثوق به).

بالنسبة لأولئك الذين يرغبون في إستخدام IKEv2، قمنا بإعداد ذلك لأجهزة Mac و iPhone و iPad و Android الخاصة بهم ونقوم عادة بإعداد IKEv1 لأجهزة Windows الخاصة بهم (ShrewSoft أو Greenbow أو L2TP/IPSec).

فتح شبكة VPN

RV32X و RV160X/RV260X

فتح شبكة VPN هو العميل

إعداد أصعب، أستكشاف الأخطاء وإصلاحها والدعم الصعب. مدعوم على RV160X/RV260X و RV320. الإعداد أكثر تعقيدا من IPSec أو AnyConnect، خاصة إذا كانوا يستخدمون الشهادات، وهو ما تقوم به الغالبية. يعد أستكشاف الأخطاء وإصلاحها أكثر صعوبة نظرا لعدم وجود أي سجلات مفيدة على الموجه والاعتماد على سجلات العميل. كما أن تحديثات إصدار عميل OpenVPN قد تغيرت بدون تحذير الشهادات التي قبلتها. أيضا، وجدنا أن هذا لا يعمل على الكرومابز وكان علينا الذهاب إلى حل IPSec.

* نحن نقوم باختبار أكبر عدد ممكن من التركيبات، إذا كان هناك مجموعة معينة من الأجهزة/البرامج، الرجاء التواصل معنا هنا. وإلا، فراجع دليل التكوين ذي الصلة حسب الجهاز للحصول على أحدث إصدار تم إختباره.

الشهادات

هل سبق لك زيارة موقع على الإنترنت وتم توجيه تحذير له بأنه غير آمن؟ إنها لا تملئك ثقة بأن معلوماتك الخاصة آمنة، وهي ليست كذلك! إذا كان الموقع آمنا، فسترى أيقونة قفل قبل اسم الموقع. هذا رمز تم التحقق من سلامة الموقع. تريد التأكد من رؤية أيقونة القفل تلك مغلقة. وينطبق نفس الشيء على شبكة VPN الخاصة بك.

عند إعداد شبكة خاصة ظاهرية (VPN)، يجب عليك الحصول على شهادة من مرجع مصدق (CA). يتم شراء الشهادات من مواقع الجهات الخارجية واستخدامها للمصادقة. إنها طريقة رسمية لإثبات أن موقعك آمن. ويعد المرجع المصدق أساسا مصدرا موثوقا به يتحقق من أنك شركة مشروعة ويمكن الوثوق بك. بالنسبة للشبكة الخاصة الظاهرية (VPN)، تحتاج فقط إلى شهادة مستوى أقل وبأقل تكلفة. يتم سحبك من قبل المرجع المصدق، وبمجرد أن يتم التحقق من معلوماتك، سيتم إصدار الشهادة لك. يمكن تنزيل هذه الشهادة كملف على الكمبيوتر. يمكنك بعد ذلك الانتقال إلى الموجه (أو خادم VPN) وتحميله هناك.

يستخدم CA البنية الأساسية للمفتاح العام (PKI) عند إصدار الشهادات الرقمية، والتي تستخدم تشفير المفتاح العام أو المفتاح الخاص لضمان الأمان. يكون CAs مسؤولا عن إدارة طلبات الشهادات وإصدار الشهادات الرقمية. تشمل بعض مراكز المراقبة التابعة لجهات خارجية IdenTrust، و Comodo، و GoDaddy، و GlobalSign، و GeoTrust، و Verisign.

من المهم أن تستخدم جميع البوابات في شبكة VPN نفس الخوارزمية، وإلا فلن تكون قادرة على الاتصال. ولإبقاء الأمور بسيطة، يوصى بشراء كافة الشهادات من نفس الجهة الخارجية الموثوقة. يؤدي ذلك إلى تسهيل إدارة العديد من الشهادات نظرا لأنه يجب تجديدها يدويا.

ملاحظة: لا يحتاج العملاء عادة إلى شهادة لاستخدام شبكة خاصة ظاهرية (VPN)، ولكنها فقط للتحقق من خلال الموجه. الاستثناء لهذا هو OpenVPN، الذي يتطلب شهادة عميل.

تختار بعض الشركات الصغيرة إستخدام كلمة مرور أو مفتاح مشترك مسبقا بدلا من "شهادة" لتحقيق البساطة. وهذا الأمر أقل أمانا ولكن يمكن إعداده دون أية تكلفة.

يمكن العثور على المزيد من المعلومات حول الشهادات في الارتباطات أدناه:

شبكة VPN من موقع إلى موقع على موجه

بالنسبة للموجه المحلي والبعيد، من المهم التأكد من مطابقة كل إعدادات الأمان والمفتاح المشترك مسبقا (PSK)/كلمة المرور/الشهادة المستخدمة لاتصال VPN. إن يستعمل واحد أو كثير مسحاج تخديد شبكة عنوان ترجمة (NAT)، أي كثير من ال cisco RV sery مسحاج تخديد يستعمل، أنت تحتاج أن يتم جدار حماية إستثناء ل ال VPN توصيل على المحلي ومسحاج تخديد بعيد.

راجع هذه المقالات من موقع إلى موقع للحصول على مزيد من المعلومات:

شبكة VPN من العميل إلى الموقع على موجه

قبل إمكانية إعداد شبكة VPN على جانب العميل، يحتاج المسؤول إلى تكوينها على الموجه.

انقر لعرض مقالات تكوين الموجه هذه:

إنشاء ملف تعريف من عميل إلى موقع

في اتصال الشبكة الخاصة الظاهرية (VPN) من عميل إلى موقع، يمكن للعملاء من الإنترنت الاتصال بالخادم للوصول إلى شبكة الشركة أو الشبكة المحلية (LAN) خلف الخادم ولكن مع الحفاظ على أمان الشبكة ومواردها. وهذه الميزة مفيدة للغاية لأنها تعمل على إنشاء نفق VPN جديد يسمح للعاملين عن بعد والمسافرين من الشركات بالوصول إلى شبكتك باستخدام برنامج عميل شبكة VPN دون المساس بالخصوصية والأمان. تكون المقالات التالية خاصة بموجهات السلسلة RV34x:

لن تعمل شبكة VPN من العميل إلى الموقع إذا تم تعيين إعادة توجيه المنفذ على مصدر حركة مرور كل والوجهة كل حركة مرور.

مجموعات المستخدمين

يتم إنشاء مجموعات المستخدمين على الموجه لمجموعة من المستخدمين الذين يتشاركون في نفس مجموعة الخدمات. تتضمن مجموعات المستخدمين هذه خيارات للمجموعة، مثل قائمة الأذون الخاصة بكيفية الوصول إلى شبكة VPN. وفقا للجهاز، يمكن السماح بالشبكة الخاصة الظاهرية (VPN) عبر بروتوكول PPTP والشبكة الخاصة الظاهرية (IPSec) من موقع إلى موقع والشبكة الخاصة الظاهرية (VPN) عبر بروتوكول IPSec. على سبيل المثال، يحتوي RV260 على خيارات تتضمن OpenVPN ولكن L2TP غير مدعوم. تم تزويد السلسلة RV340 ب AnyConnect لشبكة VPN SSL، بالإضافة إلى البوابة المقيدة أو شبكة EZ VPN.

تمكن هذه الإعدادات المسؤولين من التحكم في الشبكة وتصفيتها بحيث لا يتمكن من الوصول إليها إلا المستخدمون المعتمدون. يعتبر كل من Shrew Soft و GreenBow إثنين من أكثر عملاء VPN شيوعا المتوفرين للتنزيل. يلزم تكوينها استنادا إلى إعدادات الشبكة الخاصة الظاهرية (VPN) الخاصة بالموجه لكي تتمكن من إنشاء نفق VPN بنجاح. تتناول المقالة التالية على وجه التحديد إنشاء مجموعة مستخدمين:

عند إعداد مجموعات المستخدمين لشبكة VPN، تأكد من ترك حساب المسؤول الافتراضي في مجموعة الإدارة وإنشاء حساب مستخدم جديد ومجموعة مستخدم لشبكة VPN. إذا قمت بنقل حساب المسؤول الخاص بك إلى مجموعة مختلفة، فستمنع نفسك من تسجيل الدخول إلى الموجه. ونتيجة لذلك، سيتعين عليك إعادة ضبط المصنع وتكوينه لذلك الموجه مرة أخرى، تاركا حساب المسؤول الافتراضي في مجموعة الإدارة وحده.

حسابات المستخدمين

يتم إنشاء حسابات المستخدمين على الموجه للسماح بمصادقة المستخدمين المحليين باستخدام قاعدة البيانات المحلية لخدمات مختلفة مثل PPTP، عميل VPN، تسجيل دخول واجهة المستخدم الرسومية (GUI) للويب، والشبكة الخاصة الظاهرية (SSLVPN) الخاصة بطبقة مآخذ التوصيل الآمنة. وهذا يمكن المسؤولين من التحكم في المستخدمين المعتمدين وتصفيتهم للوصول إلى الشبكة فقط. تتناول المقالة التالية على وجه التحديد إنشاء حساب مستخدم:

من عميل إلى موقع في موقع العميل

في اتصال الشبكة الخاصة الظاهرية (VPN) من عميل إلى موقع، يمكن للعملاء من الإنترنت الاتصال بالخادم للوصول إلى شبكة الشركة أو الشبكة المحلية (LAN) خلف الخادم ولكن مع الاستمرار في الحفاظ على أمان الشبكة ومواردها. وهذه الميزة مفيدة للغاية لأنها تعمل على إنشاء نفق VPN جديد يسمح للعاملين عن بعد والمسافرين من الشركات بالوصول إلى شبكتك باستخدام برنامج عميل شبكة VPN دون المساس بالخصوصية والأمان. يتم إعداد شبكة VPN لتشفير البيانات وفك تشفيرها أثناء إرسالها واستقبالها.

يعمل تطبيق AnyConnect مع SSL VPN ويتم إستخدامه مع موجهات RV34x بشكل خاص. وهو غير متوفر مع سلسلة موجهات RV الأخرى. وبدءا من الإصدار 1.0.3.15، لم تعد هناك حاجة إلى ترخيص موجه، ولكن يلزم شراء التراخيص لجانب العميل من الشبكة الخاصة الظاهرية (VPN). للحصول على مزيد من المعلومات حول Cisco AnyConnect Secure Mobility Client، انقر هنا. للحصول على إرشادات حول التثبيت، حدد من المقالات التالية:

هناك بعض التطبيقات من جهة خارجية التي يمكن إستخدامها لشبكة VPN من جهاز عميل إلى موقع مع جميع موجهات سلسلة RV. كما ذكرنا مسبقا، لا تدعم Cisco هذه التطبيقات، حيث يتم توفير هذه المعلومات لأغراض التوجيه.

عميل GreenBow VPN هو تطبيق عميل VPN من جهة خارجية يجعل من الممكن للجهاز المضيف تكوين اتصال آمن لنفق IPsec من العميل إلى الموقع أو SSL. هذا التطبيق مدفوع الأجر ويتضمن الدعم.

OpenVPN هو تطبيق مجاني ومفتوح المصدر يمكن إعداده واستخدامه لشبكة VPN SSL. وهو يستخدم اتصال العميل-الخادم لتوفير إتصالات آمنة بين خادم وموقع عميل بعيد عبر الإنترنت.

إن Shrew Soft عبارة عن تطبيق مجاني مفتوح المصدر يمكن إعداده واستخدامه لشبكة VPN IPsec كذلك. وهو يستخدم اتصال العميل-الخادم لتوفير إتصالات آمنة بين خادم وموقع عميل بعيد عبر الإنترنت.

تم إستخدام شبكة VPN سهلة بشكل شائع على موجهات RV32x. فيما يلي بعض المعلومات للرجوع إليها:

معالج الإعداد

يأتي أحدث موجهات سلسلة RV من Cisco مزودا بمعالج إعداد VPN الذي يرشدك خلال خطوات الإعداد. يتيح لك معالج إعداد VPN تكوين إتصالات LAN الأساسية إلى LAN والوصول عن بعد VPN وتخصيص إما مفاتيح مشتركة مسبقا أو شهادات رقمية للمصادقة. راجع هذه المقالات للحصول على مزيد من المعلومات:

القرار

لقد قادتك هذه المقالة إلى فهم أفضل للشبكات الخاصة الظاهرية (VPN) بالإضافة إلى التلميحات التي تساعدك على شق طريقك. والآن يجب ان تكونوا مستعدين لتهيئة ما لكم! خذ بعض الوقت لعرض الارتباطات وتحديد أفضل طريقة لإعداد شبكة VPN على موجه من سلسلة Cisco RV.

محفوظات المراجعة

المراجعة تاريخ النشر التعليقات
1.0
15-Jan-2020
الإصدار الأولي

هل كان هذا المستند مفيدًا؟

Feedbackالتعليقات

اتصل بنا