•   Opereaza pe distante mult mai mari decat LANurile de aceea cel mai adesea folosesc serviciile oferite de un ISP ( internet service provider – furnizor de servicii internet).Aceste servicii fie ca sunt cumparate fie inchiriate .
•   Folosesc legaturile seriale in general acestea ofera o largime de banda mult mai mica decat cea oferita de retelele LAN , costul acestei bande fiind de asemenea mult mai mare in cazul retelelor de mare intindere.
•   Retelele de mare intindere folosesc o gama de echipamente special adaptate pentru cerintele acestora : routere ( interfetele seriale ) , switchuri WAN , modemuri , comm servere.

Routerele sunt aceleasi folosite si in conexiunile LAN cu deosebirea ca in acest caz sunt folosite interfetele seriale care de obicei se conecteaza la un modem care transforma ( moduleazademoduleaza ) tipul de semnal ( electric/cablu de cupru sau optic/fibra optica ) pe care il transporta furnizorul de servicii internet . Comm serverul este un echipament care este in parte router si in parte modem aflat in mare majoritate a cazurilor in dotarea providerului de internet , din aceasta cauza nu vom insista asupra sa. 
Switchul WAN este diferite ca si functie de cel LAN si este aflat de asemenea in dotarea furnizorului de servicii internet .In principiu asigura transferul informatiei in interriorul retelei providerului dar are functii mult mai complexe . 

Exista o multitudine de tehnologii WAN care difera prin largimea benzii pe care o distribuie , mediul folosit la propagarea datelor , pretul sau , gradul de incredere in serviciul folosit .Vom prezenta doar cateva mai cunoscute pentru noi romanii. 

Urmatorele imagini indica cateva dintre protocoalele si standardele folosite in retelele WAN.Am incercat sa precizez si tipurile de echipamente folosite in realizarea proiectului de VPN ulterio intentia fiind sa nu mai revin cu explicatii teoretice ci doar cu specificatiile proiectului in sine . 
 

Noi vom folosi routere Cisco din seria 2500 si modemuri Breeze wireless iar intre ele un cablu V.35 . 

In ceea ce priveste protocoalele folosite intre routere m-am oprit asupra PPP pentru ca este pe deplin standardizat si in plus ofera posibilitati forte bune de autentificare ( folosind CHAPul ). 

Decizia mea de a realiza un proiect de VPN a fost luata in ideea ca daca tot trebuie sa fac un proiect atunci sa fac unul care sa suscite interesul in cat mai mare masura.Despre VPN se pot spuune multe dar daca ar fi sa rezum totul as relua ceea ce am gasit intr-o dimineata pe siteul de la Cisco « today VPN is may be the most used term in enterprise networking » 1.Asadar 
subiectul este « la moda ». In ceea ce urmeaza am sa prezint in general termenul de VPN si cam ce implica acesta si cateva tehnologii de VPN care se pot implementa in Romania .In acest sens este demn de luat in Decizia mea de a realiza un proiect de VPN a fost luata in ideea ca daca tot trebuie sa fac un proiect atunci sa fac unul care sa suscite interesul in cat mai mare masura.Despre VPN se pot spuune multe dar daca ar fi sa rezum totul as relua ceea ce am gasit intr-o dimineata pe siteul de 
la Cisco « today VPN is may be the most used term in enterprise networking » 1.Asadar subiectul este « la moda ». 

In ceea ce urmeaza am sa prezint in general termenul de VPN si cam ce implica acesta si cateva tehnologii de VPN care se pot implementa in Romania .In acest sens este demn de luat inconsiderare ca in urma cu cateva saptamani Romtelecomul a introdus si la noi ISDN , acesta oferind mari posibilitati de implementare a Access VPN pentru firme mici , medii si chiar mari . 
In primul rand trebuie spus ce inseamna o retea privata .Asta am s-o fac printr-un exemplu : daca ar trebui sa-si faca o retea privata firma mea ar trebui sa sa traga cabluri si stalpi intre toate cele trei sedii ale sale , sa cumpere echipamente foarte scumpe , sa angajeze oameni care sa instaleze iar mai apoi sa mentina toata aceasta infrastructura .Asadar cheltuielile ar atinge 
un prag exorbitant pentru o firma care are ca obiect de activitate vanzrile de textile spre exemplu .Deci situatia ar trebui altfel gandita. 
Alternativa ar fi sa inchirieze banda de la un provider de internet si sa-si lege cele trei locatii punandu-le adrese de IP reale .Vorbim aici despre partajarea unei conexiuni .Aici insa apar probleme de securitate .S-ar simti multi provocati fie sa sparga sistemul sau macar sa-l blocheze periodioc ( prin flooding spre exemplu ) .Asadar ar trebui inasprita foarte mult securitatea , fapt care in primul rand costa iar in al doilea ar impune asemenea restrictii incat ar fi imposibil ca firma sa-si mai desfasoare activitatea economica. 
Partea buna este ca mai exista o alternativa si aceasta este de departe cea mai viabila : crearea unei retele care sa fie virtual privata .Asadar este un hibrid : aduce securitatea retelei integral private si se apropie ca si cost de cea obtinuta prin partajarea de banda la internet. 
Asadar un VPN este o retea care conecteaza in mod securizat diferite locatii folosind infrastructura deja partajata a retelei internet. VPN mentine aceeasi securitate , prioritate a traficului , posibilitatile de management si incredere ca si o retea privata. 
VPN este cea mai eficienta alternativa in ceea ce priveste costurile de implementare si mentinere pentru firmele private. 
VPNul in plus ofera o multitudine de posibilitati de conectare : 
 

•   Realizarea de intranet intre diferite locatii aflate la distanta.
•   Conectarea utilizatorilor mobili .
•   Realizarea unor legaturi extranet cu partenerii de afaceri.

La ora actula exista trei posibilitati de realiza un VPN : 

• Access VPN – permite conectarea individuala ( utilizatori mobili ) sa a unor birouri la sediul central al unei firme , aceasta realizandu-se in cele mai sigure conditii.
• Intranet VPN – permite conectarea diferitelor sedii ale unei firme folosind legaturi dedicate .Diferenta fata de Access VPN consta in faptul ca se folosesc legaturi dedicate cu rata de transfer garantata fapt care permite asigurarea unei foarte bune calitati a transmisiei pe langa securitate si banda mai larga.
• Extranet VPN – este folosit pentru a lega diferiti clienti sau parteneri de afaceri la sediul central al unei firme folosind linii dedicate , conexiuni partajate , securitate maxima.

Sunt doua tipuri pentr acest tip de VPN dupa cum urmeaza : 

Conexiune initiata de client .Clienti care vor sa se conecteze la siteul firmei trebuie sa aiba instalat un client de VPN acesta asigurandu-le incripatare datelor intre computerul lor si sediul ISPului .Mai departe conexiunea cu sediul firmei se face de asemenea in mod criptat , in concluzie intregul circuit al informatiei se face in mod criptat. Trebuie precizat ca in in cazul acestui tip de VPN sunt folositi o multitudine de clienti de VPN .Un exemplu este Cisco Secure VPN dar spre exemplu si Windows NT sau 2000 au integrat clienti de VPN. Un alt fapt este folosirea unui NAS ( Network Access Server ) acesta fiin un server deaccess care face logarea si satbilirea tunelului cripatat in ambele directia pentru fluxul de date .nu insist asupra acestui component deoarece se afla in premizele si responsabilitatile ISPului. Urmatoarea imagine schematizeaza acest tip de Access VPN : 

Access VPN initiat de NAS 1 este ceva mai simpla pentru ca nu implica folosirea unui client de VPN .Tunelul cripatat se realizeaza intre NASul ISPului si sediul firmei la care se vrea logarea .Intre client si NAS securitatea se bazeaza pe siguranta liniilor telefonice ( fapt care uneori poate fi un dezavantaj ). 
 
 

Permite realizarea unei retele interne complet sigura pentru o firma. Permite realizarea unor medii client-server foarte performante prin utilizarea conexiunilor dedicate care pot sa atinga rate de transfer foarte bune ( E1) limita fiind determinata de suma pe care firma respectiva este dispusa sa o investeasca in infrastructura sa informationala . 

Arhitectura aceasta utilizeaza doua routere la cele doua capete ale conexiunii , intre acestea se realizeaza un tunel criptat. In acest caz nu mai este necesara folosirea unui client de VPN ci folosirea IPSec.IPSec ( IP Security Protocol ) este un protocol standardizat de strat 3 care asigura autentificarea, confidentialitatea si integritatea transferului de date intre o pereche de echipamente care comunica .Foloseste ceea ce se numeste Internet Key Exchange ( IKE ) care necesita introducerea la ambele capete ale conexiunii a unor chei de autentificare care mai apoi vor permite logarea reciproca . 
Schematic conexiunea arata cam asa : 

Acest tip de VPN seamana cu precedentul cu deosebirea ca extinde limitele intranetului permitand legarea la sediul corporatiei a unor parteneri de afaceri , clienti etc.acest tip permite accesul unor utilizatori care nu fac parte din structura firmei .Pentru a 
permite acest lucru se folosesc certificate digitale care permit ulterior realizarea unor tunele criptate .Certificatele digitale sunt furnizate de o autoritate care are ca activitate acest lucru . 
 
 

Pentru implementarea unui VPN exista un necesar de echipamente software si hardware .Voi prezenta in continuare echipamentele si cerintele Cisco deorece cu acestea sunt eu familiarizat mai mult sau mai putin.nu neg ca ar exista si alte echipamente. Cisco recomanda urmatoarea gama de routere pentru VPN : 

Seria         transfer maxim date               utilizare
Cisco 800 series. Pana la 128 Kbps ISDN SOHO
Cisco uBr900 series. Pana la T1 SOHO
Cisco 827 DSL SOHO
Cisco 1700 Series. Pana la T1/E1 Small Office
Cisco 2600 Series. Pana la T1/E1 Branch Office
Cisco 3600 Series. n * T1/E1 Large Branch
Cisco 7120. n * T1/E1 Large Branch
Cisco 7100 Series. Pana la DS3 Central Site
Cisco 7200 Series. Pana la DS3 Central Site

In al doilea rand avem nevoie de routere care sa suporte IPSec .Acestea ar fi : 

Cisco 1600 series routers
Cisco 800 series routers
Cisco 1740 series routers
Cisco 2500 series routers
Cisco 2600 series routers
Cisco 3600 series routers
Cisco 4000 (Cisco 4000, 4000-M, 4500, 4500-M, 4700, 4700-M) series routers
Cisco 7100 series routers
Cisco 7200 series routers
Cisco 7500 series routers

Cerintele de sistem se grupeaza in doua categorii : in primul rand ar fi vorba despre cerintele clientului si al doilea rand despre cele pentru server .Cerintele de client sunt software .Un client pentru a puteafi configurat este necesar sa intruneasca urmatoarele cerinte : 

PC cu procesor Pentium sau echivalent 
OS :
_Microsoft Windows 95
_Microsoft Windows 98
_Microsoft Windows NT 4.0 (Service Pack 3 sau 4 )
_Microsoft Windows 2000
Minimum 32 MB RAM
Disponibil pe hard disk 9 MB
CD-ROM
Protocoale configurate : TCP/IP
Conexiune dial-up ( modem intern sau extern )
Conexiune la retea Ethernet.

Severerul trebuie sa respecte cateva cerinte hard si soft : 
Trebuie sa fie unul dintre routerele mentionate mai sus sa permita folosirea IPSec si sa aiba ca sistem de operare minimum IOS 12.04 .Este recomandat de asemenea ca routerul sa fie ales in concordanta cu necesitatile de trafic ale companiei .

In continuare am sa prezint schematizat cateva date importante legat de modul in care VPN este incriptat si cum se face stabilirea conexiunii .In primul rand despre modul in care se face autentificarea . In ceea ce urmeaza vom folosi ca protocol de strat 2 in cazul legaturilor seriale intre routere protocolul PPP pentru ca este pe deplin standardizat si ofera o buna modalitate de autentificare .Mai exact aceasta autentificare se produce la stabilirea conexiunii intre cele 
doua capete ale circuitului si are ca rezultat accesul sau nu al celui care a cerut conectarea .Protocolul PPP are doua modalitati de autentificare : PAP si CHAP . 
PAPul este mai putin folosit in ultima vreme deoarece nu este foarte sigur , trimitand parolele in „ clear text” sistemul putand pierde astfel informatie pretiosa daca se insera un sniffer.CHAPul este cel mai folosit protocol de autentoficare datorita modului sau mai elaborat in care asigura autentificarea folosind „provocari” (chellenge ) ale serverului de autentificare .Este de asemenea important si faptul ca autentificarea se face pa parcursul mentinerii circuitului nu numai la startul acestuia .Procesul de autentificare are loc ca in schita de mai jos. 

1.Cand clientul initializeaza conexiunea PPP cu NAS acesta din urma ii trimite un chellenge catre client.
2.Clientul trimite un raspuns.NASul analizeaza acest raspuns si incepe negocierea cu routerul gateway al firmei .Dupa ce se stabileste un tunel intre acestia NAS trimite mai departe informatiile primite de la client .
3.Urmatorul pas este realizat intre gateway si client , gatewayul autentifica clientul si trimite acestuia insiintarea de acceptare sau nu a conexiunii.

Stabilirea tunelului L2F este tot o chestiune de negociere intre doua noduri dar am considerat ca depaseste spatiul acestei lucrari si nu am introdus date suplimentare.In continuare este indicat modul in care se face autentificarea unui utilizator . 
 
 

Pe schema de mai sus se pot vedea pasii care sunt urmati pentru ca un utilizator dintr-o filiala sa poata stabili o conexiune cu reteau din centrul firmei .Au loc urmatoarele etape : 

1. 1.Utilizatorul de la distanta initiaza o conexiune PPP , are loc autentificarea CHAP , NAS accepta sesiunea.
2. 2.NAS identifica utilizatorul.
3. 3.NAS initiaza tunelul criptat L2F intre el si siteul principal al firmei ( mai exact routerul care are rol de gateway ).
4. 4.Routerul firmei autentifica acel utilizator si daca este acceptat atunci aproba tunelul cu NAS.
5. 5.Routerul gateway confirma acceptare sesiunii si a tunelului L2F.
6. 6.NAS face un fisier de log pe care il inregistreaza.
7. 7.Gatewayul si utilizatorul incep negocierile PPP ( LCP , NCP , se poate acorda o adresa IP prin DHCP ).
8. 8.Tunelul intre utilizator si firma este realizat pe deplin si se pot schimba in siguranta datele .