X
تبلیغات
رایتل


شبکه vpn چیست؟

شبکه vpn چیست؟
همزمان با عمومیت یافتن اینترنت ، اغلب سازمانها و موسسات ضرورت توسعه شبکه اختصاصی خود را بدرستی احساس کردند. در ابتدا شبکه های اینترانت مطرح گردیدند.این نوع شبکه بصورت کاملا" اختصاصی بوده و کارمندان یک سازمان با استفاده از رمز عبور تعریف شده ، قادر به ورود به شبکه و استفاده از منابع موجود می باشند. اخیرا" ، تعداد زیادی از موسسات و سازمانها با توجه به مطرح شدن خواسته های جدید ( کارمندان از راه دور ، ادارات از راه دور )، اقدام به ایجاد شبکه های اختصاصی مجازی VPN)Virtual Private Network) نموده اند. یک VPN ، شبکه ای اختصاصی بوده که از یک شبکه عمومی ( عموما" اینترنت ) ، برای ارتباط با سایت های از راه دور و ارتباط کاربران بایکدیگر، استفاده می نماید. این نوع شبکه ها در عوض استفاده از خطوط واقعی نظیر : خطوط Leased ، از یک ارتباط مجازی بکمک اینترنت برای شبکه اختصاصی بمنظور ارتباط به سایت ها استفاده می کند. عناصر تشکیل دهنده یک VPN دو نوع عمده شبکه های VPN وجود دارد : دستیابی از راه دور (Remote-Access) . به این نوع از شبکه ها VPDN)Virtual private dial-up network)، نیز گفته می شود.در شبکه های فوق از مدل ارتباطی User-To-Lan ( ارتباط کاربر به یک شبکه محلی ) استفاده می گردد. سازمانهائی که از مدل فوق استفاده می نمایند ، بدنبال ایجاد تسهیلات لازم برای ارتباط پرسنل ( عموما" کاربران از راه دور و در هر مکانی می توانند حضور داشته باشند ) به شبکه سازمان می باشند. سازمانهائی که تمایل به برپاسازی یک شبکه بزرگ " دستیابی از راه دور " می باشند ، می بایست از امکانات یک مرکز ارائه دهنده خدمات اینترنت جهانی ESP)Enterprise service provider) استفاده نمایند. سرویس دهنده ESP ، بمنظور نصب و پیکربندی VPN ، یک NAS)Network access server) را پیکربندی و نرم افزاری را در اختیار کاربران از راه دور بمنظور ارتباط با سایت قرار خواهد داد. کاربران در ادامه با برقراری ارتباط قادر به دستیابی به NAS و استفاده از نرم افزار مربوطه بمنظور دستیابی به شبکه سازمان خود خواهند بود. سایت به سایت (Site-to-Site) . در مدل فوق یک سازمان با توجه به سیاست های موجود ، قادر به اتصال چندین سایت ثابت از طریق یک شبکه عمومی نظیر اینترنت است . شبکه های VPN که از روش فوق استفاده می نمایند ، دارای گونه های خاصی در این زمینه می باشند:

مبتنی بر اینترانت . در صورتیکه سازمانی دارای یک و یا بیش از یک محل ( راه دور) بوده و تمایل به الحاق آنها در یک شبکه اختصاصی باشد ، می توان یک اینترانت VPN را بمنظور برقرای ارتباط هر یک از شبکه های محلی با یکدیگر ایجاد نمود.

مبتنی بر اکسترانت . در مواردیکه سازمانی در تعامل اطلاعاتی بسیار نزدیک با سازمان دیگر باشد ، می توان یک اکسترانت VPN را بمنظور ارتباط شبکه های محلی هر یک از سازمانها ایجاد کرد. در چنین حالتی سازمانهای متعدد قادر به فعالیت در یک محیط اشتراکی خواهند بود. استفاده از VPN برای یک سازمان دارای مزایای متعددی نظیر : گسترش محدوه جغرافیائی ارتباطی ، بهبود وضعیت امنیت ، کاهش هزینه های عملیاتی در مقایسه با روش های سنتی WAN ، کاهش زمان ارسال و حمل اطلاعات برای کاربران از راه دور ، بهبود بهره وری ، توپولوژی آسان ،... است . در یکه شبکه VPN به عوامل متفاوتی نظیر : امنیت ، اعتمادپذیری ، مدیریت شبکه و سیاست ها نیاز خواهد بود.شبکه های LAN جزایر اطلاعاتی فرض نمائید در جزیره ای در اقیانوسی بزرگ ، زندگی می کنید. هزاران جزیره در اطراف جزیره شما وجود دارد. برخی از جزایر نزدیک و برخی دیگر دارای مسافت طولانی با جزیره شما می باشند. متداولترین روش بمنظور مسافرت به جزیره دیگر ، استفاده از یک کشتی مسافربری است . مسافرت با کشتی مسافربری ، بمنزله عدم وجود امنیت است . در این راستا هر کاری را که شما انجام دهید ، توسط سایر مسافرین قابل مشاهده خواهد بود. فرض کنید هر یک از جزایر مورد نظر به مشابه یک شبکه محلی (LAN) و اقیانوس مانند اینترنت باشند. مسافرت با یک کشتی مسافربری مشابه برقراری ارتباط با یک سرویس دهنده وب و یا سایر دستگاههای موجود در اینترنت است . شما دارای هیچگونه کنترلی بر روی کابل ها و روترهای موجود در اینترنت نمی باشید. ( مشابه عدم کنترل شما بعنوان مسافر کشتی مسافربری بر روی سایر مسافرین حاضر در کشتی ) .در صورتیکه تمایل به ارتباط بین دو شبکه اختصاصی از طریق منابع عمومی وجود داشته باشد ، اولین مسئله ای که با چالش های جدی برخورد خواهد کرد ، امنیت خواهد بود. فرض کنید ، جزیره شما قصد ایجاد یک پل ارتباطی با جزیره مورد نظر را داشته باشد .مسیر ایجاد شده یک روش ایمن ، ساده و مستقیم برای مسافرت ساکنین جزیره شما به جزیره دیگر را فراهم می آورد. همانطور که حدس زده اید ، ایجاد و نگهداری یک پل ارتباطی بین دو جزیره مستلزم صرف هزینه های بالائی خواهد بود.( حتی اگر جزایر در مجاورت یکدیگر باشند ) . با توجه به ضرورت و حساسیت مربوط به داشتن یک مسیر ایمن و مطمئن ، تصمیم به ایجاد پل ارتباطی بین دو جزیره گرفته شده است . در صورتیکه جزیره شما قصد ایجاد یک پل ارتباطی با جزیره دیگر را داشته باشد که در مسافت بسیار طولانی نسبت به جزیره شما واقع است ، هزینه های مربوط بمراتب بیشتر خواهد بود. وضعیت فوق ، نظیر استفاده از یک اختصاصی Leased است . ماهیت پل های ارتباطی ( خطوط اختصاصی ) از اقیانوس ( اینترنت ) متفاوت بوده و کماکن قادر به ارتباط جزایر( شبکه های LAN) خواهند بود. سازمانها و موسسات متعددی از رویکرد فوق ( استفاده از خطوط اختصاصی) استفاده می نمایند. مهمترین عامل در این زمینه وجود امنیت و اطمینان برای برقراری ارتباط هر یک سازمانهای مورد نظر با یکدیگر است . در صورتیکه مسافت ادارات و یا شعب یک سازمان از یکدیگر بسیار دور باشد ، هزینه مربوط به برقرای ارتباط نیز افزایش خواهد یافت .با توجه به موارد گفته شده ، چه ضرورتی بمنظور استفاده از VPN وجود داشته و VPN تامین کننده ، کدامیک از اهداف و خواسته های مورد نظر است ؟ با توجه به مقایسه انجام شده در مثال فرضی ، می توان گفت که با استفاده از VPN به هریک از ساکنین جزیره یک زیردریائی داده می شود. زیردریائی فوق دارای خصایص متفاوت نظیر :دارای سرعت بالا است . هدایت آن ساده است . قادر به استتار( مخفی نمودن) شما از سایر زیردریا ئیها و کشتی ها است . قابل اعتماد است . پس از تامین اولین زیردریائی ، افزودن امکانات جانبی و حتی یک زیردریائی دیگرمقرون به صرفه خواهد بود در مدل فوق ، با وجود ترافیک در اقیانوس ، هر یک از ساکنین دو جزیره قادر به تردد در طول مسیر در زمان دلخواه خود با رعایت مسایل ایمنی می باشند. مثال فوق دقیقا" بیانگر تحوه عملکرد VPN است . هر یک از کاربران از راه دور شبکه قادربه برقراری ارتباطی امن و مطمئن با استفاده از یک محیط انتقال عمومی ( نظیر اینترنت ) با شبکه محلی (LAN) موجود در سازمان خود خواهند بود. توسعه یک VPN ( افزایش تعداد کاربران از راه دور و یا افزایش مکان های مورد نظر ) بمراتب آسانتر از شبکه هائی است که از خطوط اختصاصی استفاده می نمایند. قابلیت توسعه فراگیر از مهمتزین ویژگی های یک VPN نسبت به خطوط اختصاصی است . امنیت VPN شبکه های VPN بمنظور تامین امنیت (داده ها و ارتباطات) از روش های متعددی استفاده می نمایند : فایروال . فایروال یک دیواره مجازی بین شبکه اختصای یک سازمان و اینترنت ایجاد می نماید. با استفاده از فایروال می توان عملیات متفاوتی را در جهت اعمال سیاست های امنیتی یک سازمان انجام داد. ایجاد محدودیت در تعداد پورت ها فعال ، ایجاد محدودیت در رابطه به پروتکل های خاص ، ایجاد محدودیت در نوع بسته های اطلاعاتی و ... نمونه هائی از عملیاتی است که می توان با استفاده از یک فایروال انجام داد. رمزنگاری . فرآیندی است که با استفاده از آن کامپیوتر مبداء اطلاعاتی رمزشده را برای کامپیوتر دیگر ارسال می نماید. سایر کامپیوترها ی مجاز قادر به رمزگشائی اطلاعات ارسالی خواهند بود. بدین ترتیب پس از ارسال اطلاعات توسط فرستنده ، دریافت کنندگان، قبل از استفاده از اطلاعات می بایست اقدام به رمزگشائی اطلاعات ارسال شده نمایند. سیستم های رمزنگاری در کامپیوتر به دو گروه عمده تقسیم می گردد : رمزنگاری کلید متقارن رمزنگاری کلید عمومی در رمز نگاری " کلید متقارن " هر یک از کامپیوترها دارای یک کلید Secret ( کد ) بوده که با استفاده از آن قادر به رمزنگاری یک بسته اطلاعاتی قبل از ارسال در شبکه برای کامپیوتر دیگر می باشند. در روش فوق می بایست در ابتدا نسبت به کامپیوترهائی که قصد برقراری و ارسال اطلاعات برای یکدیگر را دارند ، آگاهی کامل وجود داشته باشد. هر یک از کامپیوترهای شرکت کننده در مبادله اطلاعاتی می بایست دارای کلید رمز مشابه بمنظور رمزگشائی اطلاعات باشند. بمنظور رمزنگاری اطلاعات ارسالی نیز از کلید فوق استفاده خواهد شد. فرض کنید قصد ارسال یک پیام رمز شده برای یکی از دوستان خود را داشته باشید. بدین منظور از یک الگوریتم خاص برای رمزنگاری استفاده می شود .در الگوریتم فوق هر حرف به دوحرف بعد از خود تبدیل می گردد.(حرف A به حرف C ، حرف B به حرف D ) .پس از رمزنمودن پیام و ارسال آن ، می بایست دریافت کننده پیام به این حقیقت واقف باشد که برای رمزگشائی پیام لرسال شده ، هر حرف به دو حرق قبل از خود می باطست تبدیل گردد. در چنین حالتی می باطست به دوست امین خود ، واقعیت فوق ( کلید رمز ) گفته شود. در صورتیکه پیام فوق توسط افراد دیگری دریافت گردد ، بدلیل عدم آگاهی از کلید ، آنان قادر به رمزگشائی و استفاده از پیام ارسال شده نخواهند بود. در رمزنگاری عمومی از ترکیب یک کلید خصوصی و یک کلید عمومی استفاده می شود. کلید خصوصی صرفا" برای کامپیوتر شما ( ارسال کننده) قابل شناسائی و استفاده است . کلید عمومی توسط کامپیوتر شما در اختیار تمام کامپیوترهای دیگر که قصد ارتباط با آن را داشته باشند ، گذاشته می شود. بمنظور رمزگشائی یک پیام رمز شده ، یک کامپیوتر می بایست با استفاده از کلید عمومی ( ارائه شده توسط کامپیوتر ارسال کننده ) ، کلید خصوصی مربوط به خود اقدام به رمزگشائی پیام ارسالی نماید . یکی از متداولترین ابزار "رمزنگاری کلید عمومی" ، روشی با نام PGP)Pretty Good Privacy) است . با استفاده از روش فوق می توان اقدام به رمزنگاری اطلاعات دلخواه خود نمود. IPSec . پروتکل IPsec)Internet protocol security protocol) ، یکی از امکانات موجود برای ایجاد امنیت در ارسال و دریافت اطلاعات می باشد . قابلیت روش فوق در مقایسه با الگوریتم های رمزنگاری بمراتب بیشتر است . پروتکل فوق دارای دو روش رمزنگاری است : Tunnel ، Transport . در روش tunel ، هدر و Payload رمز شده درحالیکه در روش transport صرفا" payload رمز می گردد. پروتکل فوق قادر به رمزنگاری اطلاعات بین دستگاههای متفاوت است :روتر به روتر فایروال به روتر کامپیوتر به روتر کامپیوتر به سرویس دهنده سرویس دهنده AAA . سرویس دهندگان( AAA : Authentication ,Authorization,Accounting) بمنظور ایجاد امنیت بالا در محیط های VPN از نوع " دستیابی از راه دور " استفاده می گردند. زمانیکه کاربران با استفاده از خط تلفن به سیستم متصل می گردند ، سرویس دهنده AAA درخواست آنها را اخذ و عمایات زیر را انجام خواهد داد : شما چه کسی هستید؟ ( تایید ، Authentication ) شما مجاز به انجام چه کاری هستید؟ ( مجوز ، Authorization ) چه کارهائی را انجام داده اید؟ ( حسابداری ، Accounting ) تکنولوژی های VPN با توجه به نوع VPN ( " دستیابی از راه دور " و یا " سایت به سایت " ) ، بمنظور ایجاد شبکه از عناصر خاصی استفاده می گردد:نرم افزارهای مربوط به کاربران از راه دور سخت افزارهای اختصاصی نظیر یک " کانکتور VPN" و یا یک فایروال PIX سرویس دهنده اختصاصی VPN بمنظور سرویفس های Dial-up سرویس دهنده NAS که توسط مرکز ارائه خدمات اینترنت بمنظور دستیابی به VPN از نوع "دستیابی از را دور" استفاده می شود. شبکه VPN و مرکز مدیریت سیاست ها با توجه به اینکه تاکنون یک استاندارد قابل قبول و عمومی بمنظور ایجاد شVPN ایجاد نشده است ، شرکت های متعدد هر یک اقدام به تولید محصولات اختصاصی خود نموده اند.

-
کانکتور VPN . سخت افزار فوق توسط شرکت سیسکو طراحی و عرضه شده است. کانکتور فوق در مدل های متفاوت و قابلیت های گوناگون عرضه شده است . در برخی از نمونه های دستگاه فوق امکان فعالیت همزمان 100 کاربر از راه دور و در برخی نمونه های دیگر تا 10.000 کاربر از راه دور قادر به اتصال به شبکه خواهند بود.

-
روتر مختص VPN . روتر فوق توسط شرکت سیسکو ارائه شده است . این روتر دارای قابلیت های متعدد بمنظور استفاده در محیط های گوناگون است . در طراحی روتر فوق شبکه های VPN نیز مورد توجه قرار گرفته و امکانات مربوط در آن بگونه ای بهینه سازی شده اند.

-
فایروال PIX . فایروال PIX(Private Internet eXchange) قابلیت هائی نظیر NAT ، سرویس دهنده ***** ، فیلتر نمودن بسته ای اطلاعاتی ، فایروال و VPN را در یک سخت افزار فراهم نموده است .

Tunneling(
تونل سازی ) اکثر شبکه های VPN بمنظور ایجاد یک شبکه اختصاصی با قابلیت دستیابی از طریق اینترنت از امکان " Tunneling " استفاده می نمایند. در روش فوق تمام بسته اطلاعاتی در یک بسته دیگر قرار گرفته و از طریق شبکه ارسال خواهد شد. پروتکل مربوط به بسته اطلاعاتی خارجی ( پوسته ) توسط شبکه و دو نفطه (ورود و خروج بسته اطلاعاتی ) قابل فهم می باشد. دو نقظه فوق را "اینترفیس های تونل " می گویند. روش فوق مستلزم استفاده از سه پروتکل است :پروتکل حمل کننده . از پروتکل فوق شبکه حامل اطلاعات استفاده می نماید. پروتکل کپسوله سازی . از پروتکل هائی نظیر: IPSec,L2F,PPTP,L2TP,GRE استفاده می گردد. پروتکل مسافر . از پروتکل هائی نظیر IPX,IP,NetBeui بمنظور انتقال داده های اولیه استفاده می شود. با استفاده از روش Tunneling می توان عملیات جالبی را انجام داد. مثلا" می توان از بسته ای اطلاعاتی که پروتکل اینترنت را حمایت نمی کند ( نظیر NetBeui) درون یک بسته اطلاعاتی IP استفاده و آن را از طریق اینترنت ارسال نمود و یا می توان یک بسته اطلاعاتی را که از یک آدرس IP غیر قابل روت ( اختصاصی ) استفاده می نماید ، درون یک بسته اطلاعاتی که از آدرس های معتبر IP استفاده می کند ، مستقر و از طریق اینترنت ارسال نمود. در شبکه های VPN از نوع " سایت به سایت " ، GRE)generic routing encapsulation) بعنوان پروتکل کپسوله سازی استفاده می گردد. فرآیند فوق نحوه استقرار و بسته بندی " پروتکل مسافر" از طریق پروتکل " حمل کننده " برای انتقال را تبین می نماید. ( پروتکل حمل کننده ، عموما" IP است ) . فرآیند فوق شامل اطلاعاتی در رابطه با نوع بست های اطلاعاتی برای کپسوله نمودن و اطلاعاتی در رابطه با ارتباط بین سرویس گیرنده و سرویس دهنده است . در برخی موارد از پروتکل IPSec ( در حالت tunnel) برای کپسوله سازی استفاده می گردد.پروتکل IPSec ، قابل استفاده در دو نوع شبکه VPN ( سایت به یایت و دستیابی از راه دور ) است . اینترفیش های Tunnel می بایست دارای امکانات حمایتی از IPSec باشند. در شبکه های VPN از نوع " دستیابی از راه دور " ، Tunneling با استفاده از PPP انجام می گیرد. PPP بعنوان حمل کننده سایر پروتکل های IP در زمان برقراری ارتباط بین یک سیستم میزبان و یک سیستم ازه دور ، مورد استفاده قرار می گیرد. هر یک از پروتکل های زیر با استفاده از ساختار اولیه PPP ایجاد و توسط شبکه های VPN از نوع " دستیابی از راه دور " استفاده می گردند:

- L2F)Layer 2 Forwarding) .
پروتکل فوق توسط سیسکو ایجاد شده است . در پروتکل فوق از مدل های تعیین اعتبار کاربر که توسط PPP حمایت شده اند ، استفاده شد ه است .

PPTP)Point-to-Point Tunneling Protocol) .
پروتکل فوق توسط کنسرسیومی متشکل از شرکت های متفاوت ایجاد شده است . این پروتکل امکان رمزنگاری 40 بیتی و 128 بیتی را دارا بوده و از مدل های تعیین اعتبار کاربر که توسط PPP حمایت شده اند ، استفاده می نماید.

- L2TP)Layer 2 Tunneling Protocol) .
پروتکل فوق با همکاری چندین شرکت ایجاد شده است .پروتکل فوق از ویژگی های PPTP و L2F استفاده کرده است . پروتکل L2TP بصورت کامل IPSec را حمایت می کند. از پروتکل فوق بمنظور ایجاد تونل بین موارد زیر استفاده می گردد :سرویس گیرنده و روتر

NAS
و روتر روتر و روتر عملکرد Tunneling مشابه حمل یک کامپیوتر توسط یک کامیون است . فروشنده ، پس از بسته بندی کامپیوتر ( پروتکل مسافر ) درون یک جعبه ( پروتکل کپسوله سازی ) آن را توسط یک کامیون ( پروتکل حمل کننده ) از انبار خود ( ایترفیس ورودی تونل ) برای متقاضی ارسال می دارد. کامیون ( پروتکل حمل کننده ) از طریق بزرگراه ( اینترنت ) مسیر خود را طی ، تا به منزل شما ( اینترفیش خروجی تونل ) برسد. شما در منزل جعبه ( پروتکل کپسول سازی ) را باز و کامپیوتر ( پروتکل مسافر) را از آن خارج می نمائید

منبع

نگاهی فنی به VPN
استفاده از RAS سرور و خط تلفن برای برقراری ارتباط دو مشکل عمده دارد عبارتند از:
1)
در صورتی که RAS سرور و سیستم تماس گیرنده در یک استان قرار نداشته باشند، علاوه بر لزوم پرداخت هزینه زیاد، سرعت ارتباط نیز پایین خواهد آمد و این مسئله وقتی بیشتر نمود پیدا می کند که کاربر نیاز به ارتباطی با سرعت مناسب داشته باشد.
2)
در صورتی که تعداد اتصالات راه دور در یک لحظه بیش از یک مورد باشد، RAS سرور به چندین خط تلفن و مودم احتیاج خواهد داشت که باز هم مسئله هزینه مطرح می گردد. اما با ارتباط VPN مشکلات مذکور به طور کامل حل می شود و کاربر با اتصال به ISP محلی به اینترنت متصل شده و VPN بین کامپیوتر کاربر و سرور سازمان از طریق اینترنت ایجاد می گردد. ارتباط مذکور می تواند از طریق خط Dialup و یا خط اختصاصی مانند Leased Line برقرار شود. به هر حال اکنون مسئله این نیست که طریقه استفاده از VPN چیست، بلکه مسئله این است که کدامیک از تکنولوژی های VPN باید مورد استفاده قرار گیرند. پنج نوع پروتکل در VPN مورد استفاده قرار می گیرد که هر کدام مزایا و معایبی دارند. در این مقاله ما قصد داریم در مورد هر کدام از این پروتکل ها بحث کرده و آنها را مقایسه کنیم. البته نتیجه نهایی به هدف شما در استفاده VPN بستگی دارد. ارتباط سیستم ها در یک اینترانت در برخی سازمان ها، اطلاعات یک دپارتمان خاص به دلیل حساسیت بالا، به طور فیزیکی از شبکه اصلی داخلی آن سازمان جدا گردیده است. این مسئله علیرغم محافظت از اطلاعات آن دپارتمان، مشکلات خاصی را نیز از بابت دسترسی کاربران دپارتمان مذکور به شبکه های خارجی به وجود می آورد. VPN اجازه می دهد که شبکه دپارتمان مذکور به صورت فیزیکی به شبکه مقصد مورد نظر متصل گردد، اما به صورتی که توسط VPN سرور، جدا شده است (با قرار گرفتن VPN سرور بین دو شبکه). البته لازم به یادآوری است که نیازی نیست VPN سرور به صورت یک Router مسیر یاب بین دو شبکه عمل نماید، بلکه کاربران شبکه مورد نظر علاوه بر اینکه خصوصیات و Subnet شبکه خاص خود را دارا هستند به VPNسرورمتصل شده و به اطلاعات درشبکه مقصد دست می یابند. علاوه بر این تمام ارتباطات برقرار شده از طریق VPN، می توانند به منظور محرمانه ماندن رمز نگاری شوند. برای کاربرانی که دارای اعتبار نامه مجاز نیستند، اطلاعات مقصد به صورت خودکار غیر قابل رویت خواهند بود. مبانی Tunneling

Tunneling
یا سیستم ایجاد تونل ارتباطی با نام کپسوله کردن (Encapsulation) نیز شناخته می شود که روشی است برای استفاده از زیر ساخت یک شبکه عمومی جهت انتقال اطلاعات. این اطلاعات ممکن است از پروتکل دیگری باشد. اطلاعات به جای اینکه به صورت اصلی و Original فرستاده شوند، با اضافه کردن یک Header (سرایند) کپسوله می شوند. این سزایند اضافی که به پکت متصل می شود، اطلاعات مسیر یابی را برای پکت فراهم می کند تا اطلاعات به صورت صحیح، سریع و فوری به مقصد برسند. هنگامی که پکت های کپسوله شده به مقصد رسیدند، سرایندها از روی پکت برداشته شده و اطلاعات به صورت اصلی خود تبدیل می شوند. این عملیات را از ابتدا تا اتمام کار Tunneling می نامند. نگهداری تونل مجموعه عملیات متشکل از پروتکل نگهداری تونل و پروتکل تبادل اطلاعات تونل به نام پروتکل Tunneling شناخته می شوند. برای اینکه این تونل برقرار شود، هم کلاینت و هم سرور می بایست پروتکل Tunneling یکسانی را مورد استفاده قرار دهند. از جمله پروتکل هایی که برای عملیات Tunneling مورد استفاده قرار می گیرند PPTP و L2TP هستند که در ادامه مورد بررسی قرار خواهند گرفت. پروتکل نگهداری تونل پروتکل نگهداری تونل به عنوان مکانیسمی برای مدیریت تونل استفاده می شود. برای برخی از تکنولوژی های Tunneling مانند PPTP و L2TP یک تونل مانند یک Session می باشد، یعنی هر دو نقطه انتهایی تونل علاوه بر اینکه باید با نوع تونل منطبق باشند، می بایست از برقرار شدن آن نیز مطلع شوند. هر چند بر خلاف یک Session، یک تونل ذریافت اطلاعات را به صورتی قابل اطمینان گارانتی نمی کند و اطلاعات ارسالی معمولا به وسیله پروتکلی بر مبنای دیتا گرام مانند UDP هنگام استفاده از L2TP یا TCP برای مدیریت تونل و یک پروتکل کپسوله کردن مسیر یابی عمومی اصلاح شده به نام GRE برای وقتی که PPTP استفاده می گردد، پیکربندی و ارسال می شوند. ساخته شدن تونل یک تونل باید قبل از این که تبادل اطلاعات انجام شود، ساخته شود. عملیات ساخته شدن تونل به وسیله یک طرف تونل یعنی کلاینت آغاز می شود و طرف دیگر تونل یعنی سرور، تقاضای ارتباط Tunneling را دریافت می کند. برای ساخت تونل یک عملیات ارتباطی مانند PPP انجام می شود. سرور تقاضا می کند که کلاینت خودش را معرفی کرده و معیارهای تصدیق هویت خود را ارائه نماید. هنگامی که قانونی بودن و معتبر بودن کلاینت مورد تایید قرار گرفت، ارتباط تونل مجاز شناخته شده و پیغام ساخته شدن تونل توسط کلاینت به سرور ارسال می گردد و سپس انتقال اطلاعات از طریق تونل شروع خواهد شد. برای روشن شدن مطلب، مثالی می زنیم. اگر محیط عمومی را، که غالبا نیز همین گونه است، اینترنت فرض کنیم، کلاینت پیغام ساخته شدن تونل را از آدرس IP کارت شبکه خود به عنوان مبدا به آدرس IP مقصد یعنی سرور ارسال می کند. حال اگر ارتباط اینترنت به صورت Dialup از جانب کلاینت ایجاد شده باشد، کلاینت به جای آدرس NIC خود، آدرس IP را که ISP به آن اختصاص داده به عنوان مبدا استفاده خواهد نمود. نگهداری تونل در برخی از تکنولوژی های Tunneling مانند L2TP و PPTP، تونل ساخته شده باید نگهداری و مراقبت شود. هر دو انتهای تونل باید از وضعیت طرف دیگر تونل با خبر باشندو نگهداری یک تونل معمولا از طریق عملیاتی به نام نگهداری فعال (KA) اجرا می گردد که طی این پروسه به صورت دوره زمانی مداوم از انتهای دیگر تونل آمار گیری می شود. این کار هنگامی که اطلاعاتی در خال تبادل نیست انجام می پذیرد. پروتکل تبادل اطلاعات تونل زمانی که یک تونل برقرار می شود، اطلاعات می توانند از طریق آن ارسال گردند. پروتکل تبادل اطلاعات تونل، اطلاعات را کپسوله کرده تا قابل عبور از تونل باشند. وقتی که تونل کلاینت قصد ارسال اطلاعات را به تونل سرور دارد، یک سرایند (مخصوص پروتکل تبادل اطلاعات) را بر روی پکت اضافه می کند. نتیجه این کار این است که اطلاعات از طریق شبکه عمومی قابل ارسال شده و تا تونل سرور مسیریابی می شوند. تونل سرور پکت ها را دریافت کرده و سرایند اضافه شده را از روی اطلاعات برداشته و سپس اطلاعات را به صورت اصلی در می آورد. انواع تونل تونل ها به دو نوع اصلی تقسیم می گردند: اختیاری و اجباری تونل اختیاری تونل اختیاری به وسیله کاربر و از سمت کامپیوتر کلاینت طی یک عملیات هوشمند، پیکربندی و ساخته می شود. کامپیوتر کاربر نقطه انتهایی تونل بوده و به عنوان تونل کلاینت عمل می کند. تونل اختیاری زمانی تشکیل می شود که کلاینت برای ساخت تونل به سمت تونل سرور مقصد داوطلب شود. هنگامی که کلاینت به عنوان تونل کلاینت قصد انجام عملیات دارد، پروتکل Tunneling مورد نظر باید بر روی سیستم کلاینت نصب گردد. تونل اختیاری می تواند در هر یک از حالت های زیر اتفاق بیفتد:
-
کلاینت ارتباطی داشته باشد که بتواند ارسال اطلاعات پوشش گذاری شده را از طریق مسیریابی به سرور منتخب خود انجام دهد.
-
کلاینت ممکن است قبل از اینکه بتواندتونل را پیکربندی کند، ارتباطی را از طریق Dialup برای تبادل اطلاعات برقرار کرده باشد. این معمول ترین حالت ممکن است. بهترین مثال از این حالت، کاربران اینترنت هستند. قبل از اینکه یک تونل برای کاربران بر روی اینترنت ساخته شود، آن ها باید به ISP خود شماره گیری کنند و یک ارتباط اینترنتی را تشکیل دهند. تونل اجباری تونل اجباری برای کاربرانی پیکربندی و ساخته می شود که دانش لازم را نداشته و یا دخالتی در ساخت تونل نخواهند داشت. در تونل اختیاری، کاربر، نقطه انتهایی تونل نیست. بلکه یک Device دیگر بین سیستم کاربر و تونل سرور، نقطه انتهایی تونل است که به عنوان تونل کلاینت عمل می نماید. اگر پروتکل Tunneling بر روی کامپیوتر کلاینت نصب و راه اندازی نشده و در عین حال تونل هنوز مورد نیاز و درخواست باشد. این امکان وجود دارد که یک کامپیوتر دیگر و یا یک Device شبکه دیگر، تونلی از جانب کامپیوتر کلاینت ایجاد نماید. این وظیفه ای است که به یک متمرکز کننده دسترسی (AS) به تونل، ارجاع داده شده است. در مرخله تکمیل این وظیفه، متمرکز کننده دسترسی یا همان AS باید پروتکل Tunneling مناسب را ایجاد کرده و قابلیت برقراری تونل را در هنگام اتصال کامپیوتر کلاینت داشته باشد. هنگامی که ارتباط از طریق اینترنت برقرار می شود، کامپیوتر کلاینت یک تونل تامین شده (Network Access Service) NAS را از طریق ISP احضار می کند. به عنوان مثال یک سازمان ممکن است قراردادی با یک ISP داشته باشد تا بتواند کل کشور را توسط یک متمرکز کننده دسترسی به هم پیوند دهد. این AC می تواند تونل هایی را از طریق اینترنت برقرار کند که به یک تونل سرور متصل باشند و از آن طریق به شبکه خصوصی مستقر در سازمان مذکور دسترسی پیدا کنند. این پیکربندی به عنوان تونل اجباری شناخته می شود، به دلیل این که کلاینت مجبور به استفاده از تونل ساخته شده به وسیله AC شده است. یک بار که این تونل ساخته شد، تمام ترافیک شبکه از سمت کلاینتو نیز از جانب سرور به صورت خودکار از طریق تونل مذکور ارسال خواهد شد. به وسیله این تونل اجباری، کامپیوتر کلاینت یک ارتباط PPP می سازد و هنگامی که کلاینت به NAS، از طریق شماره گیری متصل می شود، تونل ساخته می شود و تمام ترافیک به طور خودکار از طریق تونل مسیریابی و ارسال می گردد. تونل اجباری می تواند به طور ایستا و یا خودکار و پویا پیکربندی شود. تونل های اجباری ایستا پیکربندی تونل های Static معمولا به تجهیزات خاص برای تونل های خودکار نیاز دارند. سیستم Tunneling خودکار به گونه ای اعمال می شودکه کلاینت ها به AC از طریق شماره گیری (Dialup) متصل می شوند. این مسئله احتیاج به خطوط دسترسی محلی اختصاصی و نیز تجهیزات دسترسی شبکه دارد که به این ها هزینه های جانبی نیز اضافه می گردد. برای مثال کاربران احتیاج دارند که با یک شماره تلفن خاص تماس بگیرند، تا به یک AC متصل شوند که تمام ارتباطات را به طور خودکار به یک تونل سرور خاص متصل می کند. در طرح های Tunneling ناحیه ای، متمرکز کننده دسترسی بخشی از User Name را که Realm خوانده می شود بازرسی می کند تا تصمیم بگیرد در چه موقعیتی از لحاظ ترافیک شبکه، تونل را تشکیل دهد. تونل های اجباری پویا در این سیستم انتخاب مقصد تونل بر اساس زمانی که کاربر به AC متصل می شود، ساخته می شود. کاربران دارای Realm یکسان، ممکن است تونل هایی با مقصد های مختلف تشکیل بدهند. البته این امر به پارامترهای مختلف آنها مانند User Name، شماره تماسف محل فیزیکی و زمان بستگی دارد. تونل های Dynamic، دارای قابلیت انعطاف عالی هستند. همچنین تونل های پویااجازه می دهند که AC به عنوان یک سیستم Multi-NAS عمل کند، یعنی اینکه همزمان هم ارتباطات Tunneling را قبول می کند و هم ارتباطات کلاینت های عادی و بدون تونل را. در صورتی که متمرکز کننده دسترسی بخواهد نوع کلاینت تماس گسرنده را مبنی بر دارای تونل بودن یا نبودن از قبل تشخیص بدهد، باید از همکاری یک بانک اطلاعاتی سود ببرد. برای این کار باید AC اطلاعات کاربران را در بانک اطلاعاتی خود ذخیره کند که بزرگترین عیب این مسئله این است که این بانک اطلاعاتی به خوبی قابل مدیریت نیست. بهترین راه حل این موضوع، راه اندازی یک سرور RADIUS است، سروری که اجازه می دهد که تعداد نا محدودی سرور، عمل شناسایی USER های خود را بر روی یک سرور خاص یعنی همین سرور RADIUS انجام دهند، به عبارت بهتر این سرور مرکزی برای ذخیره و شناسایی و احراز هویت نمودن کلیه کاربران شبکه خواهد بود. پروتکل های VPN عمده ترین پروتکل هایی که به وسیله ویندوز 2000 برای دسترسی به VPN استفاده می شوند عبارتند از: PPTP، L2TP، IPSEC، IP-IP. البته پروتکل امنیتی SSL نیز جزء پروتکل های مورد استفاده در VPN به شمار می آید، ولی به علت اینکه SSL بیشتر بر روی پروتکل های HTTP، LDAP، POP3، SMTP و... مورد استفاده قرار می گیرد، بحث در مورد آن را به فرتی دیگر موکول می کنیم. پروتکل PPTP پروتکل Tunneling نقطه به نقطه، بخش توسعه یافته ای از پروتکل PPP است که فریم های پروتکل PPP را به صورت IP برای تبادل آنها از طریق یک شبکه IP مانند اینترنت توسط یک سرایند، کپسوله می کند. این پروتکل می تواند در شبکه های خصوصی از نوع LAN-to-LAN نیز استفاده گردد. پروتکل PPTP به وسیله انجمنی از شرکت های مایکروسافت، Ascend Communications، 3com، ESI و US Robotics ساخته شد. PPTP یک ارتباط TCPرا (که یک ارتباط Connection Oriented بوده و پس از ارسال پکت منتظرAcknowledgment آن می ماند) برای نگهداری تونل و فریم های PPP کپسوله شده توسط (Generic Routing Encapsulation) GRE که به معنی کپسوله کردن مسیریابی عمومی است، برای Tunneling کردن اطلاعات استفاده می کند. ضمنا اطلاعات کپسوله شده PPP قابلیت رمز نگاری و فشرده شدن را نیز دارا هستند، تونل های PPTP باید به وسیله مکانیسم گواهی همان پروتکل PPP که شامل (EAP، CHAP، MS-CHAP، PAP) می شوند، گواهی شوند. در ویندوز 2000 رمزنگاری پروتکل PPP فقط زمانی استفاده می گردد که پروتکل احراز هویت یکی از پروتکل های EAP، TLS و یا MS-CHAP باشد. باید توجه شود که رمز نگاری PPP، محرمانگی اطلاعات را فقط بین دو نقطه نهایی یک تونل تامین می کند و در صورتی که به امنیت بیشتری نیاز باشد، باید از پروتکل Ipsec استفاده شود. پروتکل L2TP پروتکل L2TP ترکیبی است از پروتکل های PPTP و (Layer 2 Forwarding) L2F که توسط شرکت سیسکو توسعه یافته است. این پروتکل ترکیبی است از بهترین خصوصیات موجود در L2F و PPTP.
L2TP
نوعی پروتکل شبکه است که فریم های PPP را برای ارسال بر روی شبکه های IP مانند اینترنت و علاوه بر این برای شبکه های مبتنی بر X.25، Frame Relay و یا ATM کپسوله می کند. هنگامی که اینترنت به عنوان زیر ساخت تبادل اطلاعات استفاده می گردد، L2TP می تواند به عنوان پروتکل Tunneling از طریق اینترنت مورد استفاده قرار گیرد.
L2TP
برای نگهداری تونل از یک سری پیغام های L2TP و نیز از پروتکل UDP (پروتکل تبادل اطلاعات به صورت Connection Less که پس از ارسال اطلاعات منتظر دریافت Acknowledgment نمی شود و اطلاعات را، به مقصد رسیده فرض می کند) استفاده می کند. در L2TP نیز فریم های PPP کپسوله شده می توانند همزمان علاوه بر رمزنگاری شدن، فشرده نیز شوند. البته مایکروسافت پروتکل امنیتی Ipsec را به جای رمزنگاری PPP توصیه می کند. ساخت تونل L2TP نیز باید همانند PPTP توسط مکانیسم (PPP EAP، CHAP، MS-CHAP، PAP) بررسی و تایید شود.

PPTP
در مقابل L2TP هر دو پروتکل PPTP و L2TP از پروتکل PPP برای ارتباطات WAN استفاده می کنند تا نوعی اطلاعات ابتدایی برای دیتا را فراهم کنند و سپس یک سرایند اضافه برای انتقال اطلاعات از طریق یک شبکه انتقالی به پکت الحاق بنمایند. هر چند این دو پروتکل در برخی موارد نیز با هم تفاوت دارند. برخی از این تفاوت ها عبارتند از:
1)
شبکه انتقال که PPTP احتیاج دارد، باید یک شبکه IP باشد. ولی L2TP فقط به یک تونل احتیاج دارد تا بتواند ارتباط Point-to-Point را برقرار کند. حال این تونل می تواند بر روی یک شبکه IP باشد و یا بر روی شبکه های دیگر مانند Frame Relay، X.25 و یا ATM.
2)L2TP
قابلیت فشرده سازی سرایند را داراست. هنگامی که فشرده سازی سرایند انجام می گیرد، L2TP با حجم 4 بایت عمل می کند، در حالی که PPTP با حجم 6 بایت عمل می نماید.
3)L2TP
متد احراز هویت را تامین می کند، در حالی که PPTP این گونه عمل نمی کند، هر چند وقتی که PPTP یا L2TP از طریق پروتکل امنیتی Ipsec اجرا می شوند، هر دو، متد احراز هویت را تامین می نمایند.
4)PPTP
رمزنگاری مربوط به PPP را استفاده می کند، ولی L2TP از پروتکل Ipsec برای رمزنگاری استفاده می نماید. پروتکل Ipsec
Ipsec
یک پروتکل Tunneling لایه سوم است که از متد ESP برای کپسوله کردن و رمزنگاری اطلاعات IP برای تبادل امن اطلاعات از طریق یک شبکه کاری IP عمومی یا خصوصی پشتیبانی می کند. Ipsec به وسیله متد ESP می تواند اطلاعات IP را به صورت کامل کپسوله کرده و نیز رمزنگاری کند. به محض دریافت اطلاعات رمزگذاری شده، تونل سرور، سرایند اضافه شده به IP را پردازش کرده و سپس کنار می گذارد و بعد از آن رمزهای ESP و پکت را باز می کند. بعد از این مراحل است که پکت IP به صورت عادی پردازش می شود. پردازش عادی ممکن است شامل مسیریابی و ارسال پکت به مقصد نهایی آن باشد. پروتکل IP-IP این پروتکل که با نام IP-IN-IP نیز شناخته می شود، یک پروتکل لایه سوم یعنی لایه شبکه است. مهمترین استفاده پروتکل IP-IP برای ایجاد سیستم Tunneling به صورت Multicast است که در شبکه هایی که سیستم مسیریابی Multicast را پشتیبانی نمی کنند کاربرد دارد. ساختار پکت IP-IPتشکیل شده است از: سرایند IPخارجی، سرایند تونل، سرایند IP داخلی و اطلاعات IP. اطلاعات IP می تواند شامل هر چیزی در محدوده IP مانند TCP، UDP، ICMP و اطلاعات اصلی پکت باشد. مدیریت VPN در بیشتر موارد مدیریت یک VPN مانند مدیریت یک RAS سرور (به طور خلاصه، سروری که ارتباط ها و Connection های برقرار شده از طریق راه دور را کنترل و مدیریت می کند)، می باشد. البته امنیت VPN باید به دقت توسط ارتباطات اینترنتی مدیریت گردد. مدیریت کاربران VPN بیشتر مدیران شبکه برای مدیریت کاربران خود ار یک پایگاه داده مدیریت کننده اکانت ها برروی کامپیوتر DC و یا از سرور RADIUS استفاده می نمایند. این کار به سرور VPN اجازه می دهد تا اعتبارنامه احراز هویت کاربران را به یک سیستم احراز هویت مرکزی ارسال کند. مدیریت آدرس ها و Name Server ها سرور VPN باید رشته ای از آدرس های IP فعال را در خود داشته باشد تا بتواند آنها را در طول مرحله پردازش ارتباط از طریق پروتکل کنترل IP به نام IPCP به درگاه های VPN Server یا Client اختصاص دهد. در VPN هایی که مبتنی بر ویندوز 2000 پیکربندی می شوند، به صورت پیش فرض، IP آدرس هایی که به Client های VPN اختصاص داده می شود، از طریق سرور DHCP گرفته می شوند. البته همان طور که قبلا گفته شد شما می توانید یک رشته IP را به صورت دستی یعنی ایستا به جای استفاده از DHCP اعمال کنید. ضمنا VPN Server باید توسط یک سیستم تامین کننده نام مانند DNS و یا WINS نیز پشتیبانی شود تا بتواند سیستم IPCP را به مورد اجرا بگذارد.

آموزش راه‌اندازی شبکه خصوصی مجازی (VPN) شبکه خصوصی مجازی یا VPN (Virtual Private Network) در اذهان تصور یک مطلب پیچیده برای استٿاده و پیاده کنندگان آن به وجود آورده است . اما این پیچیدگی ، در مطالب بنیادین و مٿهومی آن است نه در پیاده‌سازی . این نکته را باید بدانید که پیاده‌سازی VPN دارای روش خاصی نبوده و هر سخت‌اٿزار و نرم‌اٿزاری روش پیاده‌سازی خود را داراست و نمی‌توان روش استانداردی را برای کلیه موارد بیان نمود . اما اصول کار همگی به یک روش است . مختصری درباره تئوری VPN مٿهوم اصلی VPN چیزی جز برقراری یک کانال ارتباطی خصوصی برای دسترسی کاربران راه دور به منابع شبکه نیست . در این کانال که بین دو نقطه برقرار می‌شود ، ممکن است که مسیرهای مختلٿی عبور کند اما کسی قادر به وارد شدن به این شبکه خصوصی شما نخواهد بود . گرچه می‌توان از VPN در هر جایی استٿاده نمود اما استٿاده آن در خطوط Dialup و Leased کار غیر ضروری است (در ادامه به‌دلیل آن پی خواهید برد). در یک ارتباط VPN شبکه یا شبکه‌ها می‌توانند به هم متصل شوند و از این طریق کاربران از راه دور به شبکه به راحتی دسترسی پیدا می‌کنند. اگر این روش از ارائه دسترسی کاربران از راه دور را با روش خطوط اختصاصی ٿیزیکی (Leased) مقایسه کنیم ، می‌بینید که ارائه یک ارتباط خصوصی از روی اینترنت به مراتب از هر روش دیگری ارزان‌تر تمام می‌شود . از اصول دیگری که در یک شبکه VPN در نظر گرٿته شده بحث امنیت انتقال اطلاعات در این کانال مجازی می‌باشد . یک ارتباط VPN می‌تواند بین یک ایستگاه کاری و یک شبکه محلی و یا بین دو شبکه محلی صورت گیرد. در بین هر دو نقطه یک تونل ارتباطی برقرار می‌گردد و اطلاعات انتقال یاٿته در این کانال به صورت کد شده حرکت می‌کنند ، بنابراین حتی در صورت دسترسی مزاحمان و هکرها به این شبکه خصوصی نمی‌توانند به اطلاعات رد و بدل شده در آن دسترسی پیدا کنند. جهت برقراری یک ارتباط VPN ، می‌توان به کمک نرم‌اٿزار یا سخت‌اٿزار و یا ترکیب هر دو ، آن را پیاده‌سازی نمود . به طور مثال اکثر دیواره‌های آتش تجاری و روترها از VPN پشتیبانی می‌کنند . در زمینه نرم‌اٿزاری نیز از زمان ارائه ویندوز NT ویرایش 4 به بعد کلیه سیستم عامل‌ها دارای چنین قابلیتی هستند . در این مقاله پیاده‌سازی VPN بر مبنای ویندوز 2000 گٿته خواهد شد . پیاه‌سازی VPN برای پیاده‌سازی VPN بر روی ویندوز 2000 کاٿیست که از منوی Program/AdministrativeTools/ ، گزینه Routing and Remote Access را انتخاب کنید . از این پنجره گزینه VPN را انتخاب کنید . پس از زدن دکمه Next وارد پنجره دیگری می‌‌شوید که در آن کارت‌های شبکه موجود بر روی سیستم لیست می‌شوند . برای راه‌اندازی یک سرور VPN می‌بایست دو کارت شبکه نصب شده بر روی سیستم داشته باشید . از یک کارت شبکه برای ارتباط با اینترنت و از کارت دیگر جهت برقراری ارتباط با شبکه محلی استٿاده می‌شود. در این‌جا بر روی هر کارت به‌طور ثابت IP قرار داده شده اما می‌توان این IPها را به صورت پویا بر روی کارت‌های شبکه قرار داد . در پنجره بعد نحوه آدرس‌دهی به سیستم راه دوری که قصد اتصال به سرور ما را دارد پرسیده می‌شود . هر ایستگاه کاری می‌ تواند یک آدرس IP برای کار در شبکه محلی و یک IP برای اتصال VPN داشته باشد . در منوی بعد نحوه بازرسی کاربران پرسیده می‌شود که این بازرسی می‌ تواند از روی کاربران تعریٿ شده در روی خود ویندوز باشد و یا آنکه از طریق یک سرویس دهنده RADIUS صورت گیرد در صورت داشتن چندین سرور VPN استٿاده از RADIUS را به شما پیشنهاد می‌کنیم . با این روش کاربران ، بین تمام سرورهای VPN به اشتراک گذاشته شده و نیازی به تعریٿ کاربران در تمامی سرورها نمی‌باشد. پروتکل‌های استٿاده شونده عملیاتی که در بالا انجام گرٿت تنها پیکربندی‌های لازم جهت راه‌اندازی یک سرور VPN می‌باشد . اما (Remote Routing Access Service) RRAS دارای دو پروتکل جهت برقراری تونل ارتباطی VPN می‌باشد. ساده‌ترین پروتکل آن PPTP (Point to Point Tunneling Protocol) است ، این پروتکل برگرٿته از PPP است که در سرویس‌های Dialup مورد استٿاده واقع می‌شود ،‌ در واقع PPTP همانند PPP عمل می‌کند . پروتکل PPTP در بسیاری از موارد کاٿی و مناسب است ،‌ به کمک این پروتکل کاربران می‌توانند به روش‌های PAP (Password Authentication Protocol) و Chap (Challenge Handshake Authentication Protocol) بازرسی شوند. جهت کد کردن اطلاعات می‌توان از روش کد سازی RSA استٿاده نمود.
PPTP
برای کاربردهای خانگی و دٿاتر و اٿرادی که در امر شبکه حرٿه‌ای نیستند مناسب است اما در جایگاه امنیتی دارای پایداری زیادی نیست . پروتکل دیگری به نام L2TP (Layer2 Forwarding) به وسیله شرکت CISCO ارائه شده که به لحاظ امنیتی بسیار قدرتمندتر است. این پروتکل با استٿاده از پروتکل انتقال اطلاعات UDP (User Datagram Protocol) به‌جای استٿاده از TCP به مزایای زیادی دست یاٿته است . این روش باعث بهینه و ملموس‌تر شدن برای دیواره‌های آتش شده است ، اما باز هم این پروتکل در واقع چیزی جز یک کانال ارتباطی نیست . جهت حل این مشکل و هر چه بالاتر رٿتن ضریب امنیتی در VPN شرکت مایکروساٿت پروتکل دیگری را به نام IPSec (IP Security) مطرح نموده که پیکربندی VPN با آن کمی دچار پیچیدگی می‌گردد. اما در صورتی که پروتکل PPTP را انتخاب کرده‌اید و با این پروتکل راحت‌تر هستید تنها کاری که باید در روی سرور انجام دهید ٿعال کردن قابلیت دسترسی Dial in می‌باشد. این کار را می‌توانید با کلیک بر روی Remote Access Polices در RRAS انجام دهید و با تغییر سیاست کاری آن ، آن را راه‌اندازی کنید (به‌ طور کلی پیش‌ٿرض سیاست کاری ، رد کلیه درخواست‌ها می‌باشد). دسترسی ایستگاه کاری از طریق VPN حالا که سرور VPN آماده سرویس‌دهی شده ، برای استٿاده از آن باید بر روی ایستگاه کاری نیز پیکربندیهایی را انجام دهیم . سیستم عاملی که ما در این‌جا استٿاده می‌کنیم ویندوز XP می‌باشد و روش پیاده‌سازی VPN را بر روی آن خواهیم گٿت اما انجام این کار بر روی ویندوز 2000 نیز به همین شکل صورت می‌گیرد . بر روی ویندوزهای 98 نیز می‌توان ارتباط VPN را برقرار نمود ، اما روش کار کمی متٿاوت است و برای انجام آن بهتر است به آدرس زیر مراجعه کنید :
www.support.microsot.com
بر روی ویندوزهای XP ، یک نرم‌اٿزار جهت اتصال به VPN برای هر دو پروتکل PPTP و L2TP وجود دارد. در صورت انتخاب هر کدام ،‌ نحوه پیکربندی با پروتکل دیگر تٿاوتی ندارد . راه‌اندازی VPN کار بسیار ساده‌ای است ، کاٿیست که بر روی Network Connection کلیک نموده و از آن اتصال به شبکه خصوصی از طریق اینترنت (Private Network Through Internet) را انتخاب کنید . در انجام مرحله بالا از شما یک اسم پرسیده می‌شود . در همین مرحله خواسته می‌شود که برای اتصال به اینترنت یک ارتباط تلٿنی (Dialup) تعریٿ نمایید ، پس از انجام این مرحله نام و یا آدرس سرور VPN پرسیده می‌شود . مراحل بالا تنها مراحلی است که نیاز برای پیکربندی یک ارتباط VPN بر روی ایستگاه‌های کاری می‌باشد . کلیه عملیات لازمه برای VPN به صورت خودکار انجام می‌گیرد و نیازی به انجام هیچ عملی نیست . برای برقراری ارتباط کاٿیست که بر روی آیکونی که بر روی میز کاری ایجاد شده دو بار کلیک کنید پس از وارد کردن کد کاربری و کلمه عبور چندین پیام را مشاهده خواهید کرد که نشان‌دهنده روند انجام برقراری ارتباط VPN است . اگر همه چیز به خوبی پیش رٿته باشد می‌توانید به منابع موجود بر روی سرور VPN دسترسی پیدا کنید این دسترسی مانند آن است که بر روی خود سرور قرار گرٿته باشید . ارتباط سایت به سایت (Site-to-Site VPN) در صورتی که بخواهید دو شبکه را از طریق یک سرور VPN دومی به یکدیگر وصل کنید علاوه بر مراحل بالا باید چند کار اضاٿه‌تر دیگری را نیز انجام دهید . جزئیات کار به پروتکلی که مورد استٿاده قرار می‌گیرد . جهت این کار باید سرور را در پنجره RRAS انتخاب کرده و منوی خاص (Properties) آن را بیاورید . در قسمت General مطمئن شوید که گزینه‌های LAN و Demand Dial انتخاب شده باشند (به طور پیش گزیده انتخاب شده هستند). هم‌چنین اطمینان حاصل کنید که پروتکل را که قصد روت (Route) کردن آن را دارید ٿعال است . پس از مراحل بالا نیاز به ایجاد یک Demand Dial دارید ، این کار را می‌توانید با یک کلیک راست بر روی واسط روت (Routing Interface) انجام دهید . در پنجره بعدی که ظاهر می‌شود باید برای این ارتباط VPN خود یک نام تعیین کنید این نام باید همان اسمی باشد که در طرٿ دیگر کاربران با آن به اینترنت متصل می‌شوند در صورتی که این مطلب را رعایت نکنید ارتباط VPN شما برقرار نخواهد شد . پس از این مرحله باید آدرس IP و یا نام دامنه آن را مشخص کنید و پس از آن نوع پروتکل ارتباطی را تعیین نمود . اما مرحله نهایی تعریٿ یک مسیر (Route) بر روی سرور دیگر می‌باشد بدین منظور بر روی آن سرور در قسمت RRAS ، Demand Dial را انتخاب کنید و آدرس IP و ساب‌نت را در آن وارد کنید و مطمئن شوید که قسمت
Use This to Initate Demand
انتخاب شده باشد . پس از انجام مرحله بالا کار راه‌اندازی این نوع VPN به پایان می‌رسد . پایان همان‌طور که دیدید راه‌اندازی یک سرور VPN بر روی ویندوز 2000 تحت پروتکل PPTP کار ساده‌ای بود اما اگر بخواهید از پروتکل L2TP/IPSec استٿاده کنید کمی کار پیچیده خواهد شد . به خاطر بسپارید که راه‌اندازی VPN بار زیادی را بر روی پردازنده سرور می‌گذارد و هرچه تعداد ارتباطات VPNبیشتر باشد بار زیادتری بر روی سرور است که می‌توانید از یک وسیله سخت‌اٿزاری مانند روتر جهت پیاده‌سازی VPN کمک بگیرد .

گفت‌وگو با محمود خسروی:اینترنت پرسرعت همچنان دور از دسترس
دنیای اقتصاد - مینو مومنی - عدم گسترش خطوط اینترنت پرسرعت همچنان باعث شده است که بخش عمده کاربری اینترنت در ایران توسط خطوط DIAL UP صورت بگیرد خطوطی که بستر آن توسط مخابرات فراهم شده است، در این میان شبکه‌های بزرگتر مانند بانک‌ها، مراکز اقتصادی و تجاری و حتیISP ها نیز برای اتصال به یکدیگر و یا به یک شبکه جامع تر به شبکه و تجهیزاتی نیاز دارند که بخش عمده آن تحت مسئولیت مخابرات است.به این ترتیب هر گونه سیاست گذاری در عرصه مخابراتی تاثیر مستقیمی بر توسعهICT در کشور گذاشته است. در همین زمینه مخابرات استان تهران به دلیل درگیر بودن با شرایط خاص پایتخت به وظایف معمول با تقاضا و درخواستهای ویژه‌ای نیز روبه روست که کار در این زمینه را با پیچیدگی‌هایی مواجه کرده است. از هنگامی که دسترسی مستقیم بسیاری ازISP ها به اینترنت مسدود شد و تنها تعداد کمی از شرکت‌ها به همراه شرکت فناوری اطلاعات ( دیتای سابق) مجوز ارتباط مستقیم با اینترنت را دریافت کردند، این شرکت‌ها (ISPها( تنها از طریق خطوط E1 قادر به ارائه خدمات اینترنتی بودند اما ازدیاد تقاضا و کمبود این خطوط عملا به گسترش بازار سیاه در این زمینه منجر شده است. الزام فعالیت شرکت‌های PAP(ارایه دهندگان اینترنت پرسرعت) به نصب تجهیزات در مراکز مخابراتی نیز موضوع قابل تامل و در عین حال مناقشه برانگیز دیگری در زمینه ارتباط مخابرات بابخش خصوصی را به وجود آورده است.این موارد و برخی از موضوعات دیگر را در گفت‌وگو با محمود خسروی مدیرعامل شرکت مخابرات استان تهران موضوع توسعه شبکه‌های اینترنت و بحث‌های موجود در این زمینه را در میان گذاشته‌ایم که می‌خوانید.
بسیاری از شرکت‌های اینترنتی از کمبود خطوط E1 شکایت دارند، به عنوان سوال نخست درباره خطوط E1 و نحوه واگذاری آن توضیح دهید؟
خطوط E1 برای مشترکینی مورد استفاده قرار می‌گیرد که از طریق Dial Up یا همان شماره‌گیری از طریق مودم و خط تلفن به اینترنت اتصال پیدا می‌کنند. برای این اتصال باید شرکت‌های ISPخطوط آنالوگ تلفن یا E1 داشته باشند. به همین علت نیاز است شرکت مخابرات برای این دسته شرکت‌ها خطوط E1 را فراهم کند. اما واگذاری این خطوط به این صورت است که اوایل شرکت‌های ISP به صورت محدود و در عین حال فعال عمل می‌کردند و از پهنای باند بالایی نیز برخوردار بودند به همین دلیل در شرکت مخابرات یک ضابطه‌ای تدوین شد که هر E1 چه میزان پهنای باند داشته باشد.مسلما هر کس این کار را جلوتر شروع کرده بود از تعداد بالاتری از این خطوط برخوردار بود و این کار چندان عادلانه به نظر نمی‌رسید به همین علت از سال قبل ضوابط محکم‌تری در مورد واگذاری خطوط E1 به مرحله اجرا گذاشتیم. به این صورت که در درجه اول بحث این بود که به ازای پهنای باند چه میزان E1 به ISPها واگذار کنیم. به طور کلی در مورد توزیع خطوط E1 باید بگویم قبلا شرکت‌های متقاضی، درخواست خود را ارایه می‌دادند و پس از مدتی که امکانات فراهم می‌شد ما خطوط را واگذار می‌کردیم اما طبق سیاست‌های جدید واگذاری خطوط E1 از روش واگذاری تلفن ثابت پیروی می‌کند. به این صورت که متقاضی باید مبلغی را به عنوان ودیعه واریز کرده و در نوبت قرار بگیرد و دقیقا براساس زمان فیش، E1 واگذار می‌شود.روش ابتدایی واگذاری خطوط E1 با چه مشکلاتی همراه بود؟
قبل از اجرای این طرح جدید یک شرکت می‌آمد و تقاضای 200 خط E1 می‌کرد و ما امکانات واگذاری را فراهم می‌کردیم که این کار دیگر نوبت محسوب نمی‌شد. در حال حاضر برای همه ISPها‌ی که قبلا پهنای باند گرفته، ولیE1 نگرفته بودند امکان واگذاری E1 را فراهم کرده‌ایم. یعنی به ازای پهنای باند E1 به شرکت‌ها تعلق بگیرد. در حال حاضر تعداد زیادی E1 نیز از این روش واگذار شده است.ودیعه نام‌نویسی به چه میزانی است؟
یک E1 مثل 30 خط تلفن است. پس ودیعه آن دقیقا مانند درخواست یک خط تلفن ثابت است که قیمت آن در 30 ضرب می‌شود.زمان انتظار واگذاری E1 به متقاضیانی چه مدت است؟
پیش‌بینی ما این است که حداکثر ظرف 3 ماه خطوط را به متقاضیان واگذار کنیم.برخی شرکت‌های اینترنتی اعتقاد دارند که خطوط E1 به طور مناسب توزیع نشده است. به عنوان مثال الان شرکت‌هایی وجود دارند که تعداد بسیار زیادی از این خطوط را در اختیار دارند و اگر کسی بخواهد الان E1 بخرد باید به این شرکت‌‌ها مراجعه کند و با قیمت بسیار بالاتر از قیمت اصلی، آنها را خریداری کند. آیا شما از فعالیت این دسته از شرکت‌ها که برای واگذاری خطوط E1 بازار سیاهی ایجاد کرده‌اند اطلاع دارید و برای جلوگیری از اقدامات آنها کاری هم انجام داده‌اید؟
در حال حاضر خطوط E1 قابل انتقال نیست. یعنی کسی نمی‌تواند E1 را از ما خریداری کند و به شخص دیگری بفروشد. این مسئله که به آن اشاره کردید به این صورت است که به عنوان مثال یک شرکت ISP از ما تقاضای E1 کرده است و ما آن را در نوبت گذاشته‌ایم، وقتی نوبت واگذاری رسیده‌ است بنا به دلایلی همچون تغییر شغل، این شرکت که خود زمانی خواهان E1 بوده است و در حال حاضر خطوط او برای واگذاری آمده است می‌آید و به دیگر شرکت‌های ISP که خواهان E1 هستند، می‌گوید بدون نوبت خطوطی را آماده برای واگذاری دارد که ما در حد توان جلوی فعالیت این گونه شرکت‌ها را گرفته‌ایم.پس قبول دارید که واگذاری خطوط E1 بازار سیاهی دارد؟
این قضایا مربوط به گذشته است و در حال حاضر E1 به شخص دیگر قابل واگذار کردن نیست.هم‌اکنون تقاضای خطوط E1 در تهران چه میزانی است و تا چه حد شما قادر به تامین آن هستید؟
با نصب جدید که در مراکز ترانزیت در حال انجام دادن آن هستیم. امکانات وسیعی برای واگذاری فراهم خواهد شد و احساس می‌کنم تمامی نیازها را بتوانیم تامین کنیم. البته ذکر یک نکته ضروری است که اگر بخواهیم روند ارتباط دیتا از طریق خطوط E1 صورت بگیرد باید گفت این کار در هیچ جای دنیا معمول نیست اما چون در حال حاضر روش جایگزینی مناسب نداریم بنابراین مجبور هستیم به همین خطوط E1 اکتفا کنیم در حالیکه معقول آن است که مشترکین برای برقراری ارتباط از خطوط ADSL استفاده کنند که متاسفانه به دلایلی چون نبود این سرویس در همه شبکه و هزینه نسبتا سنگین آن که در سبد خانوار قابل گنجاندن نیست، این موضوع باعث شده که مشترکین و کاربران هنوز به دنبال E1 و دایل آپ باشند.در زمینه شرکت‌های PAP که کار واگذاری اینترنت پرسرعت را بر عهده دارند وضعیت هم اکنون به چه صورتی است و چه تعداد پورت واگذار شده است؟
امکانات واگذاری اینترنت پرسرعت، طبق توصیه‌های که صورت گرفته باید توسط شرکت‌های خصوصی انجام بگیرد و ما به عنوان یک شرکت دولتی از این کار منع شده‌ایم. اما در شروع کار ما یک همکاری گسترده با این شرکت‌ها داشته‌ایم که این شرکت‌ها بتوانند با کمترین مشکل کار خود را شروع کنند به این صورت که ما در حد امکان، فضا را در اختیار آنها قرار داده‌ایم که بتوانند با نصب کانکس و دیگر تجهیزات ارتباط مشترکین را برقرار کنند و در حال حاضر 20 مرکز کامل شده و در حال واگذاری به مشترکین است و به طور کلی این شرکت‌های PAP توانسته‌اند در حدود 6 هزار پورت را به متقاضیان واگذار کنند.مشکل عمده این شرکت‌ها ظاهرا مربوط به امکاناتی است که باید در مراکز مخابراتی مستقر کنند هم اکنون یک شرکت اینترنتی برای راه‌اندازی خطوط اینترنت پرسرعت نیازمند نصب چه دستگاه‌هایی در مرکز مخابراتی است؟
در درجه اول باید دستگاه دیس لمپ فراهم کنند که به عنوان بخش فعال از آن یاد می‌شود و یک قسمت دیگر به نام پسیو یا اسپلیدر که باید درMDF ها (مراکز تلفنی) نصب شود. سیستم فعال نیاز نیست که حتما در مراکز تلفن باشد چرا که می‌تواند در نزدیکی مراکز تلفن یا هر مکانی که شرکت‌ PAP در نظر دارد نصب شود. اما اسپلیدر باید حتما در مرکز تلفن نصب شود و راه دیگری نیز وجود ندارد و ما نصب این کار را برای شرکت‌های PAP انجام می‌دهیم. اما برای قسمت فعال باید بنا بر قانون شرکت‌های PAP یک فضا تامین کنند و قانون ما را برای تامین این فضا برای این شرکت‌ها مجبور نکرده است اما برای اینکه در روند کار اختلالی ایجاد نشود ما در حدود 50 مرکز، فضا را در اختیار این شرکت‌ها گذاشته‌ایم که کار را سریع‌تر انجام دهند و با این همکاری در حدود 20 مرکز آماده شده است.شرکت‌های PAP معتقدند که مراکز مخابراتی برای توسعه اینترنت پرسرعت با آنها همکاری نمی‌کنند آیا شما این گفته را تائید می‌کنید؟
این گفته صحت ندارد، چرا که ما برای تامین فضای فعال شرکت‌های PAP مجبور به همکاری با آنها نبودیم اما برای اینکه کار به تعویق نیفتد، هر جا که توانستیم فضا را در اختیار آنها قرار داده‌ایم چرا که به این اصل معتقدیم اگر این شرکت‌ها فعال شوند و بتوانند مشترکینی را از طریق این روش جذب کنند به طبع بار ترافیک کاذبی که به شدت شبکه ما را تهدید می‌کند، به نحوه مطلوبی کاسته می‌شود. بنابراین حرکت شرکت‌‌های PAP برای واگذاری خطوطADSL نه تنها به ضرر ما نیست بلکه برای شبکه بسیار سودمند است و شرکت مخابرات از همان ابتدا به شدت از این طرح استقبال و آن را دنبال کرده است. اما اگر گاهی اوقات از طرف شرکت‌های PAP عدم همکاری از سوی مراکز مخابراتی عنوان می‌شود، شاید به این موضوع برگردد که سازمان تنظیم مقررات رادیویی به خاطر پروانه صادر شده، شرکت‌های PAP را به دلایلی بازخواست می‌کنند که این شرکت‌ها این مشکلات را نیز به گردن مراکز مخابراتی می‌اندازند.آیا تا کنون از طرف شرکت‌‌های PAP شکایتی به شما ارسال شده است و به طور کلی جای برای رسیدگی به شکایات این شرکت‌ها وجود دارد؟
سازمان تنظیم مقررات رادیویی چون برای شرکت‌های PAP پروانه صادر کرده است باید به شکایات آنها نیز رسیدگی کند. این سازمان به عنوان یک مجموعه مستقل از ما و بخش خصوصی و تا حدودی حامی بخش خصوصی باید اگر شکایتی وجود داشته باشد به آن رسیدگی کند.اعلام موضوع واگذاری خطوط اینترنت پرسرعت توسط خود مخابرات زمانی مخالفت شرکت‌های PAP را به همراه داشت آیا سرانجام مخابرات تصمیم به واگذاری ADSL گرفت؟
در تمام دنیا اپراتورهای مخابراتی می‌توانند هر سرویسی که مشترک بخواهد را ارائه کنند. خصوصی سازی در کشور ما به نوعی بد تعریف شده است، چرا که در تمام دنیا کل شبکه اپراتور مخابرات به بخش خصوصی واگذار می‌شود و هر سرویس جانبی را نیز همان اپراتور به متقاضیان ارائه می‌دهد. اما در کشور ما اپراتور را دولتی نگاه داشته‌اند و شاخه و بال‌های آن را به بخش خصوصی واگذار کرده‌اند. مانند همین سرویس ADSL که به شرکت‌های PAP واگذار کرده‌اند. با این کار بین بخش خصوصی و دولتی یکسری فصل مشترک‌های به وجود می‌آید که باید مرتب قانون بگذاریم، جلسه پشت جلسه برگزار کینم، بخش خصوصی بخش دولتی را محکوم کند و به عکس، در حالیکه در تمام دنیا مرسوم است که همه کارها به یک بخش واگذار می‌شود. اگر الان عنوان می‌شود که کره بالاترین بالاترین ضریب نفوذ پهنای باند در دنیا را دارد این برمی‌گردد به اینکه Korean Telecom خصوصی شده است. در مورد خطوط ADSL اولین کام حدود چند سال پیش برداشته شد که قرار بود شرکت مخابرات حدود صد هزار پورت ADSL را به مناقصه بگذارد اما به خاطر همان سیاست‌های ذکر شده جلوی این مناقصه گرفته شد و به ما در حد ارائه قالب برنامه امکان مانور دادند. اما در حال حاضر تکلیف بخش دولتی و خصوصی در مورد ADSL به چه صورتی است باید بگویم که در برنامه 5 ساله چهارم باید در حدود 5/1 میلیون پورت در کل کشور توسط شرکت‌های خصوصی و اپراتورهای دولتی به وجود بیاید و باز طبق برنامه، از این تعداد 5/1 میلیون پورت باید حدود 240 هزار پورت توسط دولت و یک میلیون و 260 هزار پورت نیز توسط بخش خصوصی (شرکت‌های PAP) ارائه شود. اما متاسفانه در حالیکه هنوز یکسال از برنامه 5 ساله را پشت سر گذاشته‌ایم هنوز اجازه فعالیت روشنی به شرکت‌های دولتی در خصوص ADSL داده نشده است و از طرف دیگر شاهد هستیم شرکت‌‌های PAP هم نتوانسته‌اند به تعهدات خودشان در خصوص واگذاری ADSL عمل کنند. البته شرکت‌‌های خصوصی معتقدند نباید شرکت‌‌های دولتی وارد قضیه بشوند چون از امکانات بالاتری نسبت به بخش خصوصی برخوردار هستند و بخش خصوصی قادر به رقابت با بخش دولتی نیست. به هر حال به عقیده من، در این میان کاربران سرگردان هستند که باید برای داشتن اینترنت پرسرعت انتظار بکشند و برای این سرویس هزینه زیادی پرداخت کنند در صورتی که اگر بخش دولتی این کار را در دست می‌گرفت هزینه این سرویس بسیار ارزان تمام می‌شد.شما به عنوان مدیرعامل شرکت مخابرات استان تهران در مورد متولی‌گری ADSL چه نظری دارید؟
با توجه به مقررات دست و پا گیری که در سیستم‌های دولتی وجود دارد اگر اپراتور‌های مخابراتی، خصوصی شوند جهش و رونق خاصی را به وجود خواهند آورد. در حال حاضر اپراتور دولتی انرژی زیادی را صرف می‌کند تا شبکه را جلو ببرد در حالیکه اگر اپراتور خصوصی بود نیاز به صرف انرژی کمتری بود و در عین حال بازده‌ای بالاتری را نیز داشت. این کاری است که در تمام دنیا امتحان شده و به نحوه مطلوبی هم پاسخ داده است. اما در عین حال باید در نظر بگیرم در کشور ما در خصوص سیستم مخابرات اگر این کار بخواهد صورت بگیرد باید یکسری مقررات خاص وضع شود. چرا که بحث امنیت و اعتماد مردم به شبکه مطرح است. خوشبختانه در برنامه دولت این مورد در نظر گرفته شده است و قرار است سهام شرکت‌های استانی را از طریق بورس به بخش خصوصی واگذار کنند. این برنامه در فاز مطالعاتی و اولیه آن قرار دارد ولی برابر تکلیف برنامه، بیش از یکسال و نیم به اجرای آن زمان نمانده است.هم اکنون چند مرکز مخابراتی در تهران داریم و چه تعداد از این مراکز با شرکت‌های PAP همکاری می‌کنند؟
در حال حاضر 77 مرکز مخابراتی داریم و همه آنها آمادگی همکاری با شرکت‌های PAP را دارند. در حدود 50 مرکز فضا را نیز برای نصب کانکس در اختیار شرکت‌های PAP قرار داده‌اند و بقیه مراکز به علت قدیمی بودن، فضای لازم برای واگذاری به شرکت‌های PAP را ندارند. اما اگر این شرکت‌ها فضا لازم را پیدا کنند، مراکز مخابراتی امکاناتی چون فیبر و کابل را در اختیار شرکت‌های PAP قرار می‌دهند.واگذاری خطوط ADSL در تهران و شهرستان‌ها به چه صورتی است؟
در شهرستان‌ها چون مراکز مخابراتی از فضای گسترده‌ای برخوردار هستند بنابراین برای واگذاری فضای مورد نیاز شرکت‌های PAP شرایط مساعدتری نسبت به تهران دارند. اما چون شرکت‌های PAP خصوصی هستند بحث اقتصادی از درجه اهمیت بالایی برخوردار است و چون در شهرستان‌ها مشتری کم است چندان ایجاد خطوط ADSL به صرفه نیست. به عنوان نمونه در حال حاضر مخابرات در 103 روستا در استان تهران خدمات ICT روستایی را راه‌اندازی کرده است، کاری که سود اقتصادی نداشته ولی بخش دولتی موظف به اجرای آن بوده چرا که به این پیشخوان نیاز داشته است اما همین کار را اگر بخش خصوصی قرار بود انجام دهد برایش هیچ توجهی اقتصادی به همراه نداشته است ولی چون دولت موظف به ارایه سرویس‌های اولیه است باید این کار را انجام می‌داد.با توجه به محدودیت‌های اتصالی که در میان کاربران انتهایی به اینترنت و شبکه‌های ارتباطی وجود دارد آیا مخابرات نمی‌توانست در این چند سال منازل مردم را به فیبر نوری متصل کند و به این ترتیب مثل بسیاری از کشورهای پیشرفته امکان بهر‌ه‌گیری شهروندان از خدمات مبتنی بر فیبر فراهم شود؟
در حال حاضر دسترسی به شبکه، از طریق کابل مسی در همین حد موجود را هم مردم از آن استفاده نمی‌کننند. ما می‌توانیم با یک مودم ADSL ، دسترسی مردم را بستگی به فاصله از 1 تا 8 مگابایت را برقرار کنیم ولی فیبرنوری چند گیگابایت اطلاعات را می‌تواند دریافت یا ارسال کند. وقتی ما در حد 1 یا 2 مگابایت مشتری نداریم و از طرفی قیمت واگذاری اینترنت پرسرعت از طرف شرکت‌های PAP بسیار بالا است و در سبد خانوار جایگاهی ندارد بحث فیبرنوری مشکلی را حل نخواهد کرد. باید در نظر داشته باشیم فیبرنوری یک بستر است. ما در همین بستر مسی هم قابلیت جابجای اطلاعات داریم اما از آن استفاده نمی‌کنیم. اما جا دارد این مسئله را متذکر شوم که در عرض این 5 سال در مورد شبکه فیبرنوری ما کار بزرگی را در استان تهران انجام داده‌ایم تا آنجا که از 250 کیلومتر فیبرنوری امروز نزدیک به 6 هزار کیلومتر فیبرنوری داریم و طبق سیاست‌های دولت که در نظر داشته‌اند که دانشگاه‌ها باید به فیبرنوری اتصال پیدا کنند در همین مدت کوتاه ما بیش از 27 دانشگاه و دانشکده را به فیبرنوری مجهز کرده‌ایم و در حدود 12 دانشگاه باقی مانده است و در این میان هر شرکتی هم که تقاضای فیبرنوری را داشته است برایش فراهم کرده‌ایم. به طور کلی باید گفت ما به میزان وسیعی فیبرنوری در شبکه ایجاد کرده‌ایم و این کار همچنان ادامه دارد اما باز هم اعتقاد دارم فیبرنوری یک بستر است و باید متقاضی و استفاده کننده آن وجود داشته باشد.گفته می‌شود بودجه اینترنت ملی از بودجه وزارتخانه کسر می‌شود این اتفاق به روند اجرای پروژه‌های دیگر این وزارتخانه لطمه نمی‌زند؟
برنامه کلی دولت تحت نام اینترنت ملی دارای چند بخش است. یک بخش آن زیر ساخت‌ها را شامل می‌شود که باید توسط ما ساخته شود که در حال حاضر بخش عمده آن راه اندازی شده است و در حال آزمایش تحویل است و به زودی به بهر‌ه‌برداری خواهد رسید و از نظر بودجه بنا به اعتباراتی که داشته‌ایم برای پیشرفت کار از آن استفاده کرده‌ایم. بخش دیگر در مورد ایجاد دیتاسنترها است که بخش بسیار مهم و کلیدی را شامل می‌شود. این مسئله را در نظر داشته باشیم که از نظر اقتصادی چندان مقرون به صرفه نیست که 2 اداره در یک سازمان بخواهند از طریق اینترنت با هم تبادل اطلاعات داشته باشند که این اطلاعات باید از اداره اول به خارج از کشور انتقال و از آنجا به اداره دوم ارسال شود که وجود دیتاسنترهای می‌تواند این مسیر را کوتاه و از نظر اقتصادی مقرون به صرفه کند. از طرف دیگر شرایط سیاسی موجود چندان صحیح به نظر نمی‌رسد که اطلاعات پایگاه‌های مهم دولتی در کشورهای چون آمریکا، اروپا میزبانی شود. حل این مشکل و ایجاد دیتا سنترهای داخلی جزو ضروریاتی است که بنا به تشخیص باید بودجه‌ای برای آن در نظر گرفته شود.به نظر شما اینترنت ملی چیزی فراتر از توسعه شبکه ارتباطی است کاری که در اصل جزو وظایف این وزارتخانه محسوب می‌شود؟
در نظر داشته باشید توسعه زیر ساخت‌‌ها جزو وظایف وزارتخانه بوده و ما این بستر را برای تعدادی کاربر و بانک‌ها و شرکت‌ها فراهم کرده‌ایم اما وقتی صحبت از اینترنت ملی یا همان شبکه ملی دیتا کشور می‌شود باید حجم وسیعی را در نظر بگیریم. در حال حاضر در مورد اینترنت ملی کارهای مطالعاتی و اولیه انجام شده و اینک زمان آن رسیده که باید روی سرمایه‌گذاری آن فکری صورت بگیرد.