طرح های پیل سوختی سلول های سوختی

صحنه ای از یک فیلم اکشن را تصور کنید که در آن شرور با یک ماشین اسپرت از صحنه جنایت در امتداد بزرگراه فرار می کند. او توسط هلیکوپتر پلیس تحت تعقیب است. ماشین وارد تونلی می شود که چندین خروجی دارد. خلبان هلیکوپتر نمی داند ماشین از کدام خروجی ظاهر می شود و شرور از تعقیب و گریز فرار می کند.

VPN تونلی است که بسیاری از جاده ها را به هم متصل می کند. هیچ کس از بیرون نمی داند اتومبیل هایی که وارد آن می شوند به کجا ختم می شوند. هیچ کس از بیرون نمی داند در تونل چه اتفاقی می افتد.

احتمالاً بیش از یک بار در مورد VPN شنیده اید. Lifehacker نیز در مورد این موضوع صحبت می کند. بیشتر اوقات، VPN توصیه می شود زیرا با استفاده از شبکه می توانید به محتوای مسدود شده جغرافیایی دسترسی داشته باشید و به طور کلی امنیت را هنگام استفاده از اینترنت افزایش دهید. حقیقت این است که دسترسی به اینترنت از طریق VPN نمی تواند کمتر از خطر مستقیم باشد.

VPN چگونه کار می کند؟

به احتمال زیاد، شما یک روتر Wi-Fi در خانه دارید. دستگاه های متصل به آن حتی بدون اینترنت هم می توانند داده ها را مبادله کنند. به نظر می رسد که شما شبکه خصوصی خود را دارید، اما برای اتصال به آن، باید از نظر فیزیکی در دسترس سیگنال روتر باشید.

VPN (شبکه خصوصی مجازی) یک شبکه خصوصی مجازی است. این در بالای اینترنت اجرا می شود، بنابراین می توانید از هر جایی به آن متصل شوید.

به عنوان مثال، شرکتی که در آن کار می کنید ممکن است از یک شبکه خصوصی مجازی برای کارگران راه دور استفاده کند. آنها با استفاده از VPN به شبکه کاری خود متصل می شوند. در عین حال، رایانه ها، تلفن های هوشمند یا تبلت های آنها به صورت مجازی به دفتر منتقل شده و از داخل به شبکه متصل می شوند. برای ورود به یک شبکه خصوصی مجازی، باید آدرس سرور VPN، لاگین و رمز عبور را بدانید.

استفاده از VPN بسیار ساده است. به طور معمول، یک شرکت یک سرور VPN را در مکانی روی یک کامپیوتر محلی، سرور یا مرکز داده نصب می کند و با استفاده از یک سرویس گیرنده VPN در دستگاه کاربر به آن متصل می شود.

امروزه کلاینت های داخلی VPN در تمام سیستم عامل های فعلی از جمله اندروید، iOS، ویندوز، macOS و لینوکس در دسترس هستند.

اتصال VPN بین مشتری و سرور معمولاً رمزگذاری شده است.

پس VPN خوب است؟

بله، اگر صاحب کسب و کار هستید و می خواهید داده ها و خدمات شرکت را ایمن کنید. ورود کارکنان به محیط کار فقط از طریق VPN و حساب ها، همیشه خواهید دانست که چه کسی چه کاری انجام داده و دارد انجام می دهد.

علاوه بر این، مالک VPN می تواند تمام ترافیکی را که بین سرور و کاربر می رود نظارت و کنترل کند.

آیا کارمندان شما زمان زیادی را در VKontakte صرف می کنند؟ می توانید دسترسی به این سرویس را مسدود کنید. آیا گنادی آندریویچ نیمی از روز کاری خود را در سایت هایی با میم می گذراند؟ تمام فعالیت های آن به طور خودکار در لاگ ها ثبت می شود و تبدیل می شود استدلال آهنینبرای اخراج

پس چرا VPN؟

VPN به شما امکان می دهد محدودیت های جغرافیایی و قانونی را دور بزنید.

به عنوان مثال، شما در روسیه هستید و می خواهید. متأسفیم که متوجه شدیم این سرویس از فدراسیون روسیه در دسترس نیست. فقط با دسترسی به اینترنت از طریق سرور VPN در کشوری که Spotify در آن فعالیت می کند، می توانید از آن استفاده کنید.

در برخی از کشورها، سانسور اینترنتی وجود دارد که دسترسی به برخی سایت‌ها را محدود می‌کند. شما می خواهید به برخی منابع دسترسی داشته باشید، اما در روسیه مسدود شده است. شما می توانید سایت را فقط با دسترسی به اینترنت از طریق سرور VPN کشوری که در آن مسدود نشده است باز کنید، یعنی تقریباً از هر کشوری به جز فدراسیون روسیه.

VPN یک فناوری مفید و ضروری است که به خوبی با طیف خاصی از وظایف مقابله می کند. اما امنیت داده های شخصی هنوز به یکپارچگی ارائه دهنده خدمات VPN، شما بستگی دارد حس مشترک، ذهن آگاهی و سواد اینترنتی.

اینترنت به طور فزاینده ای به عنوان وسیله ای برای ارتباط بین رایانه ها مورد استفاده قرار می گیرد زیرا ارتباطات کارآمد و ارزانی را ارائه می دهد. با این حال، اینترنت یک شبکه است استفاده مشترکو برای اطمینان از ارتباط امن از طریق آن، مکانیسم خاصی مورد نیاز است که حداقل وظایف زیر را برآورده کند:

محرمانه بودن اطلاعات؛

یکپارچگی داده؛

در دسترس بودن اطلاعات؛

این الزامات توسط مکانیزمی به نام VPN (شبکه خصوصی مجازی) برآورده می شود - یک نام عمومی برای فناوری هایی که اجازه می دهد یک یا چند اتصال شبکه (شبکه منطقی) از طریق شبکه دیگری (به عنوان مثال، اینترنت) با استفاده از رمزنگاری (رمزگذاری، احراز هویت) ارائه شود. ، زیرساخت) کلیدهای عمومی، به معنی محافظت در برابر تکرارها و تغییرات در پیام های ارسال شده از طریق شبکه منطقی).

ایجاد VPN نیازی به سرمایه گذاری اضافی ندارد و به شما امکان می دهد استفاده از خطوط اختصاصی را متوقف کنید. بسته به پروتکل های مورد استفاده و هدف، VPN می تواند سه نوع اتصال را ارائه دهد: میزبان به میزبان، میزبان به شبکه و شبکه به شبکه.

برای وضوح، بیایید مثال زیر را تصور کنیم: یک شرکت دارای چندین شعبه جغرافیایی دوردست و کارمندان "سیار" است که در خانه یا در جاده کار می کنند. لازم است همه کارکنان شرکت در یک شبکه واحد متحد شوند. ساده ترین راه نصب مودم در هر شعبه و سازماندهی ارتباطات در صورت نیاز است. با این حال، این راه حل همیشه راحت و سودآور نیست - گاهی اوقات به ارتباطات ثابت و پهنای باند زیاد نیاز است. برای انجام این کار، یا باید یک خط اختصاصی بین شعب ایجاد کنید یا آنها را اجاره کنید. هر دو بسیار گران هستند. و در اینجا، به عنوان یک جایگزین، هنگام ساخت یک شبکه امن واحد، می توانید از اتصالات VPN تمام شعب شرکت از طریق اینترنت استفاده کنید و ابزار VPN را روی هاست شبکه پیکربندی کنید.

برنج. 6.4.اتصال VPN سایت به سایت

برنج. 6.5.شبکه میزبان نوع اتصال VPN

در این مورد، بسیاری از مشکلات حل می شود - شعب را می توان در هر نقطه از جهان قرار داد.

خطر اینجاست که اولا شبکه بازپذیرای حملات مهاجمان در سراسر جهان است. در مرحله دوم، تمام داده ها از طریق اینترنت به صورت متن شفاف منتقل می شوند و مهاجمان با هک کردن شبکه، تمام اطلاعات را از طریق شبکه منتقل می کنند. و سوم، داده ها نه تنها می توانند رهگیری شوند، بلکه در حین انتقال از طریق شبکه نیز جایگزین می شوند. برای مثال، یک مهاجم می‌تواند یکپارچگی پایگاه‌های داده را با اقدام از طرف مشتریان یکی از شعب مورد اعتماد نقض کند.

برای جلوگیری از این اتفاق، راه‌حل‌های VPN از ویژگی‌هایی مانند رمزگذاری داده‌ها برای اطمینان از یکپارچگی و محرمانه بودن، احراز هویت و مجوز برای تأیید حقوق کاربر و اجازه دسترسی به شبکه خصوصی مجازی استفاده می‌کنند.

اتصال VPN همیشه از یک کانال نقطه به نقطه تشکیل شده است که به عنوان تونل نیز شناخته می شود. این تونل در یک شبکه محافظت نشده ایجاد می شود که اغلب اینترنت است.

تونل سازی یا کپسوله سازی روشی برای انتقال اطلاعات مفید از طریق یک شبکه میانی است. این اطلاعات ممکن است فریم (یا بسته) پروتکل دیگری باشد. با کپسوله‌سازی، فریم همانطور که توسط میزبان فرستنده تولید شده است، منتقل نمی‌شود، بلکه با یک هدر اضافی حاوی اطلاعات مسیریابی ارائه می‌شود که به بسته‌های محصور شده اجازه می‌دهد از طریق شبکه میانی (اینترنت) عبور کنند. در انتهای تونل، فریم ها کپسوله شده و به گیرنده منتقل می شوند. به طور معمول، یک تونل توسط دو دستگاه لبه ای ایجاد می شود که در نقاط ورودی به یک شبکه عمومی قرار می گیرند. یکی از مزایای واضح تونل زنی این است که این فناوری به شما امکان می دهد کل بسته منبع، از جمله هدر را رمزگذاری کنید، که ممکن است حاوی اطلاعاتی باشد که مهاجمان برای هک کردن شبکه استفاده می کنند (به عنوان مثال، آدرس های IP، تعداد زیر شبکه ها و غیره). ) .

اگرچه یک تونل VPN بین دو نقطه ایجاد می شود، هر گره می تواند تونل های اضافی را با گره های دیگر ایجاد کند. به عنوان مثال، هنگامی که سه ایستگاه راه دور نیاز به تماس با یک دفتر دارند، سه تونل VPN مجزا برای آن دفتر ایجاد می شود. برای همه تونل ها، گره در سمت دفتر می تواند یکسان باشد. این امکان پذیر است زیرا یک گره می تواند داده ها را از طرف کل شبکه رمزگذاری و رمزگشایی کند، همانطور که در شکل نشان داده شده است:

برنج. 6.6.ایجاد تونل های VPN برای چندین مکان از راه دور

کاربر یک اتصال به دروازه VPN برقرار می کند و پس از آن کاربر به شبکه داخلی دسترسی پیدا می کند.

در داخل یک شبکه خصوصی، خود رمزگذاری رخ نمی دهد. دلیل آن این است که این قسمت از شبکه برخلاف اینترنت امن و تحت کنترل مستقیم در نظر گرفته می شود. این در هنگام اتصال دفاتر با استفاده از دروازه های VPN نیز صادق است. این تضمین می کند که فقط اطلاعاتی که از طریق یک کانال ناامن بین دفاتر منتقل می شوند رمزگذاری می شوند.

راه حل های مختلفی برای ساخت شبکه های خصوصی مجازی وجود دارد. معروف ترین و پرکاربردترین پروتکل ها عبارتند از:

PPTP (پروتکل نقطه به نقطه تونل) - این پروتکل به دلیل گنجاندن آن در سیستم عامل های مایکروسافت بسیار محبوب شده است.

L2TP (پروتکل تونل زنی لایه 2) - پروتکل L2F (انتقال لایه 2) و پروتکل PPTP را ترکیب می کند. معمولاً در ارتباط با IPSec استفاده می شود.

IPSec (امنیت پروتکل اینترنت) یک استاندارد رسمی اینترنتی است که توسط انجمن IETF (گروه وظیفه مهندسی اینترنت) توسعه یافته است.

پروتکل های لیست شده توسط دستگاه های D-Link پشتیبانی می شوند.

پروتکل PPTP در درجه اول برای شبکه های خصوصی مجازی مبتنی بر اتصالات شماره گیری در نظر گرفته شده است. این پروتکل امکان دسترسی از راه دور را فراهم می کند و به کاربران این امکان را می دهد تا با ارائه دهندگان اینترنت ارتباط تلفنی برقرار کنند و یک تونل امن برای شبکه های شرکتی خود ایجاد کنند. برخلاف IPSec، PPTP در ابتدا برای ایجاد تونل بین شبکه های محلی در نظر گرفته نشده بود. PPTP قابلیت‌های PPP را گسترش می‌دهد، یک پروتکل پیوند داده که در ابتدا برای کپسوله کردن داده‌ها و ارائه آن‌ها از طریق اتصالات نقطه به نقطه طراحی شده بود.

پروتکل PPTP به شما امکان می دهد کانال های امنی برای تبادل داده ها روی پروتکل های مختلف ایجاد کنید - IP، IPX، NetBEUI و غیره. داده های این پروتکل ها در فریم های PPP بسته بندی شده و با استفاده از پروتکل PPTP در بسته های پروتکل IP محصور می شوند. سپس با استفاده از IP به شکل رمزگذاری شده روی هر شبکه TCP/IP منتقل می شوند. گره دریافت کننده فریم های PPP را از بسته های IP استخراج می کند و سپس آنها را به روشی استاندارد پردازش می کند. یک بسته IP، IPX یا NetBEUI را از یک فریم PPP استخراج می کند و آن را از طریق شبکه محلی ارسال می کند. بنابراین، پروتکل PPTP یک اتصال نقطه به نقطه در شبکه ایجاد می کند و داده ها را از طریق کانال امن ایجاد شده منتقل می کند. مزیت اصلی کپسوله کردن پروتکل هایی مانند PPTP ماهیت چند پروتکلی آنهاست. آن ها حفاظت از داده ها در لایه پیوند داده برای پروتکل های شبکه و لایه برنامه شفاف است. بنابراین، در داخل شبکه، هم از پروتکل IP (مانند VPN مبتنی بر IPSec) و هم از هر پروتکل دیگری می توان به عنوان یک انتقال استفاده کرد.

در حال حاضر، به دلیل سهولت پیاده سازی، پروتکل PPTP به طور گسترده ای هم برای دستیابی به دسترسی ایمن مطمئن به شبکه شرکتی و هم برای دسترسی به شبکه های ارائه دهندگان اینترنت، زمانی که مشتری برای دستیابی به دسترسی نیاز به برقراری ارتباط PPTP با ارائه دهنده اینترنت دارد، استفاده می شود. به اینترنت

روش رمزگذاری مورد استفاده در PPTP در سطح PPP مشخص شده است. به طور معمول، مشتری PPP یک رایانه رومیزی است که سیستم عامل مایکروسافت را اجرا می کند و پروتکل رمزگذاری، رمزگذاری نقطه به نقطه مایکروسافت (MPPE) است. این پروتکل مبتنی بر استاندارد RSA RC4 است و از رمزگذاری 40 یا 128 بیتی پشتیبانی می کند. برای بسیاری از کاربردهای این سطح از رمزگذاری، استفاده از این الگوریتم کاملاً کافی است، اگرچه نسبت به برخی دیگر از الگوریتم‌های رمزگذاری ارائه شده توسط IPSec، به ویژه استاندارد رمزگذاری سه‌گانه 168 بیتی (3DES) از امنیت کمتری برخوردار است. .

نحوه برقراری ارتباطPPTP?

PPTP بسته های IP را برای انتقال از طریق یک شبکه IP محصور می کند. کلاینت های PPTP یک اتصال کنترل تونل ایجاد می کنند که کانال را در حال اجرا نگه می دارد. این فرآیند در لایه انتقال مدل OSI انجام می شود. پس از ایجاد تونل، کامپیوتر مشتری و سرور شروع به تبادل بسته های سرویس می کنند.

علاوه بر اتصال کنترل PPTP، یک اتصال برای ارسال داده ها از طریق تونل ایجاد می شود. کپسوله کردن داده ها قبل از ارسال به تونل شامل دو مرحله است. ابتدا قسمت اطلاعاتی قاب PPP ایجاد می شود. داده ها از بالا به پایین، از لایه برنامه OSI به لایه پیوند داده جریان می یابد. سپس داده های دریافتی به مدل OSI ارسال می شود و توسط پروتکل های لایه بالایی محصور می شود.

داده های لایه پیوند به لایه انتقال می رسد. با این حال، اطلاعات را نمی توان به مقصد خود ارسال کرد، زیرا لایه پیوند داده OSI مسئول این امر است. بنابراین، PPTP فیلد بار بسته را رمزگذاری می‌کند و توابع لایه دوم را که معمولاً متعلق به PPP است، بر عهده می‌گیرد، یعنی یک هدر PPP و تریلر به بسته PPTP اضافه می‌کند. این کار ایجاد قاب لایه پیوند را کامل می کند. در مرحله بعد، PPTP فریم PPP را در یک بسته Generic Routing Encapsulation (GRE) کپسوله می کند که به لایه شبکه تعلق دارد. GRE پروتکل های لایه شبکه مانند IP، IPX را محصور می کند تا انتقال آنها از طریق شبکه های IP را امکان پذیر کند. با این حال، تنها استفاده از پروتکل GRE، ایجاد جلسه و امنیت داده ها را تضمین نمی کند. این از توانایی PPTP برای ایجاد یک اتصال کنترل تونل استفاده می کند. استفاده از GRE به عنوان یک روش کپسوله سازی، دامنه PPTP را فقط به شبکه های IP محدود می کند.

پس از اینکه فریم PPP در یک فریم با هدر GRE کپسوله شد، کپسوله سازی در فریمی با هدر IP انجام می شود. هدر IP حاوی آدرس های مبدا و مقصد بسته است. در نهایت، PPTP یک هدر و پایان PPP اضافه می کند.

بر برنج. 6.7ساختار داده برای ارسال از طریق یک تونل PPTP نشان داده شده است:

برنج. 6.7.ساختار داده برای ارسال از طریق یک تونل PPTP

ایجاد VPN مبتنی بر PPTP نیازی به هزینه‌های زیاد یا تنظیمات پیچیده ندارد: کافی است یک سرور PPTP را در دفتر مرکزی نصب کنید (راه‌حل‌های PPTP برای هر دو سیستم عامل ویندوز و لینوکس وجود دارد) و تنظیمات لازم را در رایانه‌های مشتری انجام دهید. اگر نیاز به ترکیب چندین شاخه دارید، به جای راه اندازی PPTP در تمام ایستگاه های مشتری، بهتر است از یک روتر اینترنتی یا فایروال با پشتیبانی PPTP استفاده کنید: تنظیمات فقط در روتر لبه (دیوار آتش) متصل به اینترنت انجام می شود. همه چیز برای کاربران کاملا شفاف است. نمونه هایی از این دستگاه ها روترهای اینترنتی چند منظوره از سری DIR/DSR و فایروال های سری DFL هستند.

GRE-تونل ها

Generic Routing Encapsulation (GRE) یک پروتکل کپسوله‌سازی بسته‌های شبکه است که تونل‌سازی ترافیک را از طریق شبکه‌ها بدون رمزگذاری فراهم می‌کند. نمونه هایی از استفاده از GRE:

انتقال ترافیک (از جمله پخش) از طریق تجهیزاتی که از پروتکل خاصی پشتیبانی نمی کنند.

تونل سازی ترافیک IPv6 از طریق شبکه IPv4؛

انتقال داده از طریق شبکه های عمومی برای اجرای یک اتصال VPN ایمن.

برنج. 6.8.نمونه ای از نحوه کار یک تونل GRE

بین دو روتر A و B ( برنج. 6.8) چندین روتر وجود دارد، تونل GRE به شما اجازه می دهد تا ارتباطی بین شبکه های محلی 192.168.1.0/24 و 192.168.3.0/24 فراهم کنید، گویی روترهای A و B مستقیماً متصل شده اند.

L2 TP

پروتکل L2TP در نتیجه ترکیب پروتکل های PPTP و L2F پدید آمد. مزیت اصلی پروتکل L2TP این است که به شما امکان می دهد نه تنها در شبکه های IP، بلکه در شبکه های ATM، X.25 و Frame relay یک تونل ایجاد کنید. L2TP از UDP به عنوان یک انتقال استفاده می کند و از همان قالب پیام برای کنترل تونل و ارسال داده استفاده می کند.

همانند PPTP، L2TP با اضافه کردن هدر PPP به فیلد اطلاعاتی PPP، سپس سربرگ L2TP، شروع به مونتاژ یک بسته برای انتقال به داخل تونل می کند. بسته به دست آمده توسط UDP کپسوله می شود. بسته به نوع خط‌مشی امنیتی IPSec انتخاب شده، L2TP می‌تواند پیام‌های UDP را رمزگذاری کند و یک سرصفحه و انتهای محفظه بار امنیتی (ESP) و همچنین یک پایان تأیید اعتبار IPSec اضافه کند (به بخش "L2TP over IPSec" مراجعه کنید). سپس در IP کپسوله می شود. یک هدر IP حاوی آدرس فرستنده و گیرنده اضافه می شود. در نهایت، L2TP یک کپسوله سازی PPP دوم را برای آماده سازی داده ها برای انتقال انجام می دهد. بر برنج. 6.9ساختار داده را برای ارسال از طریق یک تونل L2TP نشان می دهد.

برنج. 6.9.ساختار داده برای ارسال از طریق یک تونل L2TP

کامپیوتر دریافت کننده داده ها را دریافت می کند، هدر PPP و خاتمه را پردازش می کند و هدر IP را حذف می کند. IPSec Authentication فیلد اطلاعات IP را احراز هویت می کند و هدر IPSec ESP به رمزگشایی بسته کمک می کند.

سپس کامپیوتر هدر UDP را پردازش می کند و از هدر L2TP برای شناسایی تونل استفاده می کند. بسته PPP اکنون فقط حاوی داده های بار است که پردازش یا به گیرنده مشخص ارسال می شود.

IPsec (مخفف IP Security) مجموعه ای از پروتکل ها برای اطمینان از حفاظت از داده های ارسال شده از طریق پروتکل اینترنت (IP) است که امکان احراز هویت و/یا رمزگذاری بسته های IP را فراهم می کند. IPsec همچنین شامل پروتکل هایی برای تبادل کلید امن از طریق اینترنت است.

امنیت IPSec از طریق پروتکل های اضافی که هدرهای خود را به بسته IP اضافه می کنند - کپسوله سازی به دست می آید. زیرا IPSec یک استاندارد اینترنت است و RFCهایی برای آن وجود دارد:

RFC 2401 (معماری امنیتی برای پروتکل اینترنت) – معماری امنیتی برای پروتکل IP.

RFC 2402 (هدر تأیید اعتبار IP) - هدر تأیید اعتبار IP.

RFC 2404 (استفاده از HMAC-SHA-1-96 در ESP و AH) - استفاده از الگوریتم هش SHA-1 برای ایجاد هدر احراز هویت.

RFC 2405 (الگوریتم رمزگذاری ESP DES-CBC با صریح IV) - استفاده از الگوریتم رمزگذاری DES.

RFC 2406 (IP Encapsulating Security Payload (ESP)) – رمزگذاری داده ها.

RFC 2407 (دامنه تفسیر امنیت IP اینترنت برای ISAKMP) محدوده پروتکل مدیریت کلید است.

RFC 2408 (انجمن امنیت اینترنت و پروتکل مدیریت کلید (ISAKMP)) – مدیریت کلیدها و احراز هویت برای اتصالات ایمن.

RFC 2409 (The Internet Key Exchange (IKE)) – تعویض کلید.

RFC 2410 (الگوریتم رمزگذاری NULL و استفاده از آن با IPsec) - الگوریتم رمزگذاری تهی و استفاده از آن.

RFC 2411 (نقشه راه سند امنیت IP) توسعه بیشتر این استاندارد است.

RFC 2412 (پروتکل تعیین کلید OAKLEY) - بررسی صحت یک کلید.

IPsec بخشی جدایی ناپذیر از پروتکل اینترنت IPv6 و یک پسوند اختیاری برای پروتکل اینترنت نسخه IPv4 است.

مکانیسم IPSec مشکلات زیر را حل می کند:

احراز هویت کاربران یا رایانه ها هنگام راه اندازی یک کانال امن؛

رمزگذاری و احراز هویت داده های منتقل شده بین نقاط انتهایی کانال امن؛

ارائه خودکار نقاط انتهایی کانال با کلیدهای مخفی لازم برای عملیات احراز هویت و پروتکل های رمزگذاری داده ها.

اجزای IPSec

پروتکل AH (Authentication Header) – پروتکل شناسایی هدر. با تأیید اینکه هیچ بیتی در بخش محافظت شده بسته در طول انتقال تغییر نکرده است، یکپارچگی را تضمین می کند. اما استفاده از AH می تواند مشکلاتی را ایجاد کند، به عنوان مثال، زمانی که یک بسته از یک دستگاه NAT عبور می کند. NAT آدرس IP بسته را تغییر می دهد تا امکان دسترسی به اینترنت از یک آدرس محلی خصوصی را فراهم کند. زیرا در این حالت بسته تغییر می کند، سپس چک جمع AH نادرست می شود (برای رفع این مشکل، پروتکل NAT-Traversal (NAT-T) توسعه داده شد که انتقال ESP را از طریق UDP فراهم می کند و از پورت UDP 4500 در عملکرد خود استفاده می کند). . همچنین شایان ذکر است که AH فقط برای یکپارچگی طراحی شده است. با رمزگذاری محتویات بسته، محرمانه بودن را تضمین نمی کند.

پروتکل ESP (Encapsulation Security Payload) نه تنها یکپارچگی و احراز هویت داده های ارسالی را فراهم می کند، بلکه رمزگذاری داده ها و همچنین محافظت در برابر پخش نادرست بسته ها را فراهم می کند.

پروتکل ESP یک پروتکل امنیتی محصور کننده است که هم یکپارچگی و هم محرمانه بودن را فراهم می کند. در حالت انتقال، هدر ESP بین هدر IP اصلی و هدر TCP یا UDP قرار دارد. در حالت تونل، هدر ESP بین هدر IP جدید و بسته IP اصلی کاملاً رمزگذاری شده قرار می گیرد.

زیرا هر دو پروتکل - AH و ESP - هدر IP خود را اضافه می کنند، هر کدام از آنها شماره پروتکل (ID) خاص خود را دارند، که می توان از آن برای تعیین آنچه پس از هدر IP استفاده می شود استفاده کرد. طبق گفته IANA (مرجع شماره های اختصاص داده شده اینترنتی - سازمان مسئول فضای آدرس اینترنتی) هر پروتکل دارای شماره (ID) خاص خود است. به عنوان مثال، برای TCP این عدد 6 و برای UDP 17 است. بنابراین، هنگام کار از طریق فایروال، بسیار مهم است که فیلترها را به گونه ای پیکربندی کنید که به بسته هایی با شناسه AH و/یا پروتکل ESP اجازه عبور داده شود. از طریق.

برای نشان دادن اینکه AH در هدر IP وجود دارد، شناسه پروتکل 51 و برای ESP عدد 50 است.

توجه: شناسه پروتکل با شماره پورت یکسان نیست.

پروتکل IKE (Internet Key Exchange) یک پروتکل استاندارد IPsec است که برای اطمینان از ارتباطات امن در شبکه های خصوصی مجازی استفاده می شود. هدف IKE مذاکره ایمن و ارائه مطالب شناسایی شده به یک انجمن امنیتی (SA) است.

SA اصطلاح IPSec برای اتصال است. یک SA تاسیس شده (یک کانال امن به نام Security Association یا SA) شامل یک کلید مخفی مشترک و مجموعه ای از الگوریتم های رمزنگاری است.

پروتکل IKE سه وظیفه اصلی را انجام می دهد:

ابزاری برای احراز هویت بین دو نقطه پایانی VPN فراهم می کند.

اتصالات جدید IPSec را ایجاد می کند (یک جفت SA ایجاد می کند).

ارتباطات موجود را مدیریت می کند.

IKE از پورت UDP شماره 500 استفاده می کند. هنگام استفاده از ویژگی NAT Traversal، همانطور که قبلا ذکر شد، پروتکل IKE از پورت UDP شماره 4500 استفاده می کند.

تبادل داده در IKE در 2 فاز انجام می شود. در مرحله اول، IKE SA تاسیس می شود. در این حالت، نقاط انتهایی کانال احراز هویت می‌شوند و پارامترهای حفاظت از داده‌ها مانند الگوریتم رمزگذاری، کلید جلسه و غیره انتخاب می‌شوند.

در مرحله دوم، IKE SA برای مذاکره با یک پروتکل (معمولا IPSec) استفاده می شود.

هنگامی که یک تونل VPN پیکربندی می شود، یک جفت SA برای هر پروتکل استفاده شده ایجاد می شود. SA ها به صورت جفت ایجاد می شوند، زیرا هر SA یک اتصال یک طرفه است و داده ها باید در دو جهت منتقل شوند. جفت SA حاصل در هر گره ذخیره می شود.

از آنجایی که هر گره قادر به ایجاد تونل های متعدد با گره های دیگر است، هر SA یک شماره منحصر به فرد دارد تا مشخص کند که به کدام گره تعلق دارد. این عدد SPI (شاخص پارامتر امنیتی) نامیده می شود.

SA در یک پایگاه داده (DB) ذخیره می شود غمگین.(پایگاه اطلاعات انجمن امنیتی).

هر گره IPSec یک DB دوم نیز دارد SPD(Security Policy Database) – پایگاه داده سیاست امنیتی. این شامل سیاست سایت پیکربندی شده است. اکثر راه حل های VPN امکان ایجاد چندین خط مشی با ترکیبی از الگوریتم های مناسب را برای هر میزبانی که باید به آن اتصال برقرار شود، می دهد.

انعطاف پذیری IPSec در این است که برای هر کار چندین راه برای حل آن وجود دارد و روش هایی که برای یک کار انتخاب می شوند معمولا مستقل از روش های اجرای وظایف دیگر هستند. در همان زمان، گروه کاری IETF مجموعه ای اساسی از توابع و الگوریتم های پشتیبانی شده را تعریف کرده است که باید به طور یکسان در همه محصولاتی که از IPSec پشتیبانی می کنند، پیاده سازی شوند. مکانیسم های AH و ESP را می توان با انواع طرح های احراز هویت و رمزگذاری استفاده کرد که برخی از آنها اجباری هستند. به عنوان مثال، IPSec مشخص می کند که بسته ها با استفاده از یک تابع MD5 یک طرفه یا یک تابع SHA-1 یک طرفه احراز هویت می شوند و رمزگذاری با استفاده از الگوریتم DES انجام می شود. تولیدکنندگان محصولاتی که IPSec را اجرا می کنند ممکن است الگوریتم های احراز هویت و رمزگذاری دیگری را اضافه کنند. به عنوان مثال، برخی از محصولات از الگوریتم های رمزگذاری مانند 3DES، Blowfish، Cast، RC5 و غیره پشتیبانی می کنند.

برای رمزگذاری داده ها در IPSec، می توان از هر الگوریتم رمزگذاری متقارن که از کلیدهای مخفی استفاده می کند استفاده کرد.

پروتکل های حفاظت جریان انتقالی (AH و ESP) می توانند در دو حالت کار کنند: حالت حمل و نقلو در حالت تونل زنی. هنگام کار در حالت حمل و نقل، IPsec فقط با اطلاعات لایه انتقال کار می کند، یعنی. فقط فیلد داده بسته حاوی پروتکل های TCP/UDP رمزگذاری شده است (سرصفحه بسته IP تغییر نکرده (رمزگذاری نشده)). حالت انتقال معمولاً برای برقراری ارتباط بین میزبان ها استفاده می شود.

در حالت تونل، کل بسته IP از جمله هدر لایه شبکه رمزگذاری می شود. برای اینکه از طریق شبکه منتقل شود، در بسته IP دیگری قرار می گیرد. در اصل، این یک تونل IP امن است. حالت تونل را می توان برای اتصال رایانه های راه دور به یک شبکه خصوصی مجازی (طرح اتصال میزبان به شبکه) یا سازماندهی انتقال امن داده از طریق کانال های ارتباطی باز (مثلاً اینترنت) بین دروازه ها برای اتصال بخش های مختلف خصوصی مجازی استفاده کرد. شبکه (طرح اتصال شبکه -net").

حالت های IPsec متقابل نیستند. در همان گره، برخی از SAها ممکن است از حالت انتقال استفاده کنند در حالی که برخی دیگر از حالت تونل استفاده می کنند.

در مرحله احراز هویت، ICV (مقدار بررسی یکپارچگی) بسته محاسبه می شود. این فرض را بر این می گذارد که هر دو گره کلید مخفی را می دانند، که به گیرنده اجازه می دهد ICV را محاسبه کرده و آن را با نتیجه ارسال شده توسط فرستنده مقایسه کند. اگر مقایسه ICV موفقیت آمیز باشد، فرستنده بسته احراز هویت در نظر گرفته می شود.

در حالت حمل و نقلا.ح.

کل بسته IP، به جز برخی از فیلدهای هدر IP که ممکن است در حین انتقال اصلاح شوند. این فیلدها که برای محاسبه ICV روی 0 تنظیم شده‌اند، می‌توانند نوع سرویس (TOS)، پرچم‌ها، افست قطعه، زمان حیات (TTL) و سربرگ جمع کنترلی باشند.

همه رشته ها در ق.

بار بسته IP

AH در حالت انتقال از هدر IP (به استثنای فیلدهایی که تغییرات برای آنها مجاز است) و بار در بسته IP اصلی محافظت می کند (شکل 3.39).

در حالت تونل، بسته اصلی در یک بسته IP جدید قرار می گیرد و انتقال داده بر اساس هدر بسته IP جدید انجام می شود.

برای حالت تونلا.ح.هنگام انجام یک محاسبه، جمع کنترل ICV شامل اجزای زیر است:

تمام فیلدهای هدر IP خارجی، به جز برخی از فیلدهای هدر IP که ممکن است در حین انتقال تغییر کنند. این فیلدها که برای محاسبه ICV روی 0 تنظیم شده‌اند، می‌توانند نوع سرویس (TOS)، پرچم‌ها، افست قطعه، زمان حیات (TTL) و سربرگ جمع کنترلی باشند.

همه رشته ها ق.

بسته IP اصلی

همانطور که در تصویر زیر می بینید، حالت تونل زنی AH با استفاده از یک هدر خارجی اضافی که حالت انتقال AH از آن استفاده نمی کند، از کل بسته IP اصلی محافظت می کند:

برنج. 6.10.تونل و حالت های عملیاتی پروتکل AN

در حالت حمل و نقلESPکل بسته را احراز هویت نمی کند، بلکه فقط از بار IP محافظت می کند. هدر ESP در حالت حمل و نقل ESP بلافاصله بعد از هدر IP به بسته IP اضافه می شود و بر این اساس تریلر ESP (ESP Trailer) پس از داده ها اضافه می شود.

حالت انتقال ESP قسمت های زیر بسته را رمزگذاری می کند:

بار IP؛

یک الگوریتم رمزگذاری که از حالت زنجیره بلوک رمز (CBC) استفاده می کند دارای یک فیلد رمزگذاری نشده بین هدر ESP و ظرفیت ترابری. این فیلد برای محاسبه CBC که بر روی گیرنده انجام می شود، IV (بردار اولیه سازی) نامیده می شود. از آنجایی که این فیلد برای شروع فرآیند رمزگشایی استفاده می شود، نمی توان آن را رمزگذاری کرد. با وجود اینکه مهاجم توانایی مشاهده IV را دارد، هیچ راهی برای رمزگشایی بخش رمزگذاری شده بسته بدون کلید رمزگذاری وجود ندارد. برای جلوگیری از تغییر بردار اولیه توسط مهاجمان، توسط یک جمع کنترل ICV محافظت می شود. در این مورد، ICV محاسبات زیر را انجام می دهد:

تمام فیلدها در هدر ESP؛

محموله شامل متن ساده IV.

همه فیلدها در ESP Trailer به جز فیلد داده احراز هویت.

حالت تونل ESP کل بسته IP اصلی را در هدر IP جدید، هدر ESP و تریلر ESP کپسوله می کند. برای نشان دادن اینکه ESP در هدر IP وجود دارد، شناسه پروتکل IP روی 50 تنظیم می شود و هدر IP و بار اصلی بدون تغییر باقی می ماند. مانند حالت تونل AH، هدر IP بیرونی بر اساس پیکربندی تونل IPSec است. در حالت تونل ESP، ناحیه احراز هویت بسته IP نشان می دهد که امضا برای تأیید صحت و صحت آن کجا قرار گرفته است و قسمت رمزگذاری شده نشان می دهد که اطلاعات امن و محرمانه است. هدر منبع بعد از هدر ESP قرار می گیرد. پس از اینکه بخش رمزگذاری شده در یک هدر تونل جدید کپسوله شد، که رمزگذاری نشده است، بسته IP منتقل می شود. هنگامی که از طریق یک شبکه عمومی ارسال می شود، بسته به آدرس IP دروازه شبکه دریافت کننده هدایت می شود و دروازه بسته را رمزگشایی می کند و هدر ESP را با استفاده از هدر IP اصلی حذف می کند تا سپس بسته را به رایانه ای در شبکه داخلی هدایت کند. حالت تونل ESP قسمت های زیر بسته را رمزگذاری می کند:

بسته IP اصلی؛

• برای حالت تونل ESP، ICV به صورت زیر محاسبه می شود:

  تمام فیلدها در هدر ESP؛

  بسته IP اصلی شامل متن ساده IV.

  تمام فیلدهای هدر ESP به جز فیلد داده احراز هویت.

برنج. 6.11.تونل و حالت حمل و نقل پروتکل ESP

برنج. 6.12.مقایسه پروتکل های ESP و AH

خلاصه ای از حالت های کاربردیIPSec:

پروتکل – ESP (AH).

حالت - تونل (حمل و نقل).

روش تعویض کلید IKE (دستی) است.

حالت IKE - اصلی (تهاجمی).

کلید DH - گروه 5 (گروه 2، گروه 1) - شماره گروه برای انتخاب کلیدهای جلسه ایجاد شده به صورت پویا، طول گروه.

احراز هویت - SHA1 (SHA، MD5).

رمزگذاری - DES (3DES، Blowfish، AES).

هنگام ایجاد یک خط مشی، معمولاً می توان یک لیست مرتب از الگوریتم ها و گروه های Diffie-Hellman ایجاد کرد. Diffie-Hellman (DH) یک پروتکل رمزگذاری است که برای ایجاد کلیدهای مخفی مشترک برای IKE، IPSec و PFS (Perfect Forward Secrecy) استفاده می شود. در این حالت، اولین موقعیتی که در هر دو گره مطابقت دارد استفاده خواهد شد. بسیار مهم است که همه چیز در سیاست امنیتی اجازه این همسویی را بدهد. اگر همه چیز به جز یک بخش از خط مشی مطابقت داشته باشد، گره ها همچنان نمی توانند اتصال VPN برقرار کنند. هنگام راه اندازی یک تونل VPN بین سیستم های مختلفشما باید دریابید که کدام الگوریتم ها توسط هر طرف پشتیبانی می شوند تا بتوانید ایمن ترین خط مشی ممکن را انتخاب کنید.

تنظیمات اساسی که سیاست امنیتی شامل موارد زیر است:

الگوریتم های متقارن برای رمزگذاری/رمزگشایی داده ها.

چک جمع های رمزنگاری برای تأیید صحت داده ها.

روش شناسایی گره متداول ترین روش ها اسرار از پیش به اشتراک گذاشته شده یا گواهینامه های CA هستند.

از حالت تونل یا حمل و نقل استفاده کنید.

از کدام گروه Diffie-Hellman استفاده شود (گروه DH 1 (768 بیت)؛ گروه DH 2 (1024 بیت)؛ گروه DH 5 (1536 بیت)).

از AH، ESP یا هر دو استفاده کنید.

از PFS استفاده شود یا خیر.

محدودیت IPSec این است که فقط از ارتباطات لایه پروتکل IP پشتیبانی می کند.

دو طرح اصلی برای استفاده از IPSec وجود دارد که در نقش گره هایی که کانال امن را تشکیل می دهند متفاوت است.

در طرح اول، یک کانال امن بین میزبان های انتهایی شبکه تشکیل می شود. در این طرح، پروتکل IPSec از گره ای که موارد زیر در آن اجرا می شود محافظت می کند:

برنج. 6.13.یک کانال امن بین دو نقطه پایانی ایجاد کنید

در طرح دوم، یک کانال امن بین دو دروازه امنیتی ایجاد می شود. این دروازه ها داده ها را از میزبان های پایانی متصل به شبکه های واقع در پشت دروازه ها دریافت می کنند. میزبان های نهایی در این مورد از پروتکل IPSec پشتیبانی نمی کنند؛ ترافیک ارسال شده به شبکه عمومی از دروازه امنیتی عبور می کند که از طرف آن محافظت را انجام می دهد.

برنج. 6.14.ایجاد یک کانال امن بین دو دروازه

برای میزبان هایی که از IPSec پشتیبانی می کنند، می توان از هر دو حالت انتقال و تونل استفاده کرد. دروازه‌ها فقط مجاز به استفاده از حالت تونل هستند.

نصب و پشتیبانیVPN

همانطور که در بالا ذکر شد، نصب و نگهداری تونل VPN یک فرآیند دو مرحله ای است. در مرحله اول (فاز)، دو گره بر روی یک روش شناسایی، یک الگوریتم رمزگذاری، یک الگوریتم هش و یک گروه Diffie-Hellman توافق می کنند. آنها همدیگر را شناسایی می کنند. همه اینها می تواند در نتیجه تبادل سه پیام رمزگذاری نشده اتفاق بیفتد (به اصطلاح حالت تهاجمی، خشونت آمیز حالت) یا شش پیام، با تبادل اطلاعات شناسایی رمزگذاری شده (حالت استاندارد، اصلی حالت).

در حالت اصلی، امکان هماهنگ کردن تمام پارامترهای پیکربندی دستگاه فرستنده و گیرنده وجود دارد، در حالی که در حالت تهاجمی چنین امکانی وجود ندارد و برخی از پارامترها (گروه Diffie-Hellman، الگوریتم های رمزگذاری و احراز هویت، PFS) باید به صورت یکسان پیکربندی شوند. پیشرفت در هر دستگاه با این حال، در این حالت، هم تعداد مبادلات و هم تعداد بسته های ارسالی کمتر است و در نتیجه زمان کمتری برای ایجاد یک جلسه IPSec نیاز است.

برنج. 6.15.پیام رسانی در حالت استاندارد (الف) و تهاجمی (ب).

با فرض انجام موفقیت آمیز عملیات، فاز اول SA ایجاد می شود فاز 1 S.A.(همچنین به نام IKES.A.) و فرآیند به مرحله دوم منتقل می شود.

در مرحله دوم، داده‌های کلیدی تولید می‌شوند و گره‌ها در مورد سیاست مورد استفاده توافق می‌کنند. این حالت که حالت سریع نیز نامیده می شود، با فاز اول تفاوت دارد زیرا تنها پس از مرحله اول، زمانی که تمام بسته های فاز دوم رمزگذاری شده اند، می توان آن را برقرار کرد. تکمیل صحیح فاز دوم منجر به ظهور فاز 2 S.A.یا IPSecS.A.و در این مرحله نصب تونل کامل تلقی می شود.

ابتدا بسته ای با آدرس مقصد در شبکه دیگر به گره می رسد و گره فاز اول را با گره مسئول شبکه دیگر آغاز می کند. فرض کنید یک تونل بین گره ها با موفقیت ایجاد شده است و منتظر بسته ها است. با این حال، گره ها باید یکدیگر را دوباره شناسایی کرده و سیاست ها را پس از یک دوره زمانی معین مقایسه کنند. این دوره را Phase One Lifetime یا IKE SA lifetime می نامند.

گره ها همچنین باید کلید رمزگذاری داده ها را پس از یک دوره زمانی به نام فاز دوم یا IPSec SA تغییر دهند.

طول عمر فاز دو کمتر از فاز اول است، زیرا ... کلید باید بیشتر عوض شود. شما باید پارامترهای طول عمر یکسانی را برای هر دو گره تنظیم کنید. اگر این کار را انجام ندهید، ممکن است در ابتدا تونل با موفقیت ایجاد شود، اما پس از اولین عمر ناسازگار، اتصال قطع شود. همچنین زمانی که طول عمر فاز اول کمتر از فاز دوم باشد، ممکن است مشکلاتی ایجاد شود. اگر یک تونل از قبل پیکربندی شده کار خود را متوقف کند، اولین چیزی که باید بررسی شود طول عمر هر دو گره است.

همچنین لازم به ذکر است که اگر خط مشی روی یکی از گره ها تغییر کند، تغییرات فقط دفعه بعد که فاز اول رخ دهد اعمال می شود. برای اعمال فوری تغییرات، SA برای این تونل باید از پایگاه داده SAD حذف شود. این باعث می شود توافق بین گره ها با تنظیمات جدید سیاست امنیتی مورد مذاکره مجدد قرار گیرد.

گاهی اوقات هنگام راه اندازی یک تونل IPSec بین تجهیزات سازنده های مختلف، به دلیل هماهنگی پارامترها هنگام ایجاد فاز اول، مشکلاتی ایجاد می شود. شما باید به پارامتری مانند Local ID توجه کنید - این یک شناسه منحصر به فرد نقطه پایانی تونل (فرستنده و گیرنده) است. این امر به ویژه هنگام ایجاد چندین تونل و استفاده از پروتکل NAT Traversal بسیار مهم است.

مردههمتاتشخیص

در طول عملیات VPN، در صورت عدم وجود ترافیک بین نقاط انتهایی تونل، یا زمانی که داده های اولیه گره راه دور تغییر می کند (به عنوان مثال، تغییر یک آدرس IP اختصاص داده شده به صورت پویا)، ممکن است وضعیتی ایجاد شود که تونل اساساً دیگر وجود نداشته باشد. یک تونل، به عنوان یک تونل ارواح. به منظور حفظ آمادگی ثابت برای تبادل داده در تونل IPSec ایجاد شده، مکانیسم IKE (شرح شده در RFC 3706) به شما امکان می دهد حضور ترافیک را از یک گره راه دور تونل نظارت کنید و اگر برای مدت زمان مشخصی وجود نداشته باشد، یک پیام سلام ارسال می شود (در فایروال ها پیام "DPD-R-U-THERE" به D-Link ارسال می شود. اگر در مدت زمان معینی به این پیام پاسخی داده نشد، در فایروال های D-Link که توسط تنظیمات "DPD Expire Time" مشخص شده است، تونل برچیده می شود. فایروال های D-Link بعد از این با استفاده از تنظیمات "DPD Keep Time" ( برنج. 6.18)، به طور خودکار سعی کنید تونل را بازیابی کنید.

پروتکلNATپیمایش

ترافیک IPsec را می توان بر اساس قوانین مشابه سایر پروتکل های IP هدایت کرد، اما از آنجایی که روتر همیشه نمی تواند اطلاعات خاص پروتکل های لایه انتقال را استخراج کند، IPsec نمی تواند از دروازه های NAT عبور کند. همانطور که قبلا ذکر شد، برای حل این مشکل، IETF روشی را برای کپسوله کردن ESP در UDP تعریف کرد که NAT-T (NAT Traversal) نام داشت.

پروتکل NAT Traversal ترافیک IPSec را کپسوله می کند و به طور همزمان بسته های UDP ایجاد می کند که NAT به درستی ارسال می کند. برای انجام این کار، NAT-T یک هدر UDP اضافی را قبل از بسته IPSec قرار می دهد تا به عنوان یک بسته UDP معمولی در سراسر شبکه در نظر گرفته شود و میزبان گیرنده هیچ گونه بررسی یکپارچگی را انجام ندهد. هنگامی که بسته به مقصد خود رسید، هدر UDP حذف می شود و بسته داده به عنوان یک بسته IPSec محصور شده به مسیر خود ادامه می دهد. بنابراین با استفاده از مکانیزم NAT-T، امکان برقراری ارتباط بین کلاینت های IPSec در شبکه های امن و هاست های عمومی IPSec از طریق فایروال ها وجود دارد.

هنگام پیکربندی فایروال های D-Link در دستگاه گیرنده، باید به دو نکته توجه کرد:

در فیلدهای Remote Network و Remote Endpoint، شبکه و آدرس IP دستگاه ارسال از راه دور را مشخص کنید. لازم است اجازه ترجمه آدرس IP آغازگر (فرستنده) با استفاده از فناوری NAT داده شود (شکل 3.48).

هنگام استفاده از کلیدهای مشترک با چندین تونل متصل به یک فایروال راه دور که به یک آدرس NAT شده اند، مهم است که اطمینان حاصل شود که شناسه محلی برای هر تونل منحصر به فرد است.

محلی شناسهممکن است یکی از:

خودکار- آدرس IP رابط ترافیک خروجی به عنوان یک شناسه محلی استفاده می شود.

IP– آدرس IP پورت WAN فایروال راه دور

DNS– آدرس DNS

مفهوم شبکه‌های مجازی خصوصی که به اختصار VPN نامیده می‌شود (از انگلیسی، نسبتاً اخیراً در فناوری رایانه ظاهر شد. ایجاد یک اتصال از این نوع، ترکیب پایانه‌های رایانه‌ای و دستگاه‌های تلفن همراه را بدون سیم‌های معمول در شبکه‌های مجازی بدون توجه به محل قرارگیری یک ترمینال خاص.حال بیایید موضوع نحوه عملکرد اتصال VPN را در نظر بگیریم و در عین حال توصیه هایی برای راه اندازی اینگونه شبکه ها و برنامه های مشتری مرتبط ارائه خواهیم کرد.

VPN چیست؟

همانطور که قبلاً مشخص است، VPN یک شبکه خصوصی مجازی است که چندین دستگاه به آن متصل هستند. شما نباید خود را فریب دهید - اتصال دو یا سه دوجین پایانه های رایانه ای که به طور همزمان کار می کنند (همانطور که می توان در یک منطقه محلی انجام داد) معمولاً کار نمی کند. این محدودیت در راه اندازی یک شبکه یا حتی فقط در آن دارد پهنای باندروتر مسئول تخصیص آدرس های IP و

با این حال، ایده ای که در ابتدا ذاتی در فناوری اتصال بود، جدید نیست. مدتها سعی کردند آن را اثبات کنند. و بسیاری از کاربران مدرن شبکه های رایانه ای حتی تصور نمی کنند که در تمام زندگی خود از این موضوع مطلع بوده اند، اما به سادگی سعی در درک اصل موضوع نداشته اند.

نحوه عملکرد اتصال VPN: اصول و فن آوری های اساسی

برای درک بهتر، ساده ترین مثالی را که برای هر فرد مدرنی می شناسد، بیان می کنیم. برای مثال رادیو را در نظر بگیرید. پس از همه، در اصل، این یک دستگاه فرستنده (مترجم)، یک واحد واسطه (تکرارکننده) مسئول انتقال و توزیع سیگنال، و یک دستگاه گیرنده (گیرنده) است.



چیز دیگر این است که سیگنال به طور مطلق برای همه مصرف کنندگان پخش می شود و شبکه مجازی به طور انتخابی کار می کند و فقط دستگاه های خاصی را در یک شبکه متحد می کند. لطفاً توجه داشته باشید که در مورد اول و دوم، برای اتصال دستگاه‌های فرستنده و گیرنده که داده‌ها را با یکدیگر رد و بدل می‌کنند، به سیم نیاز است.

اما در اینجا ظرافت هایی نیز وجود دارد. واقعیت این است که در ابتدا سیگنال رادیویی محافظت نشده بود، یعنی می توان آن را توسط هر آماتور رادیویی با یک دستگاه کار در فرکانس مناسب دریافت کرد. VPN چگونه کار می کند؟ بله دقیقا همینطوره تنها در در این موردنقش یک تکرار کننده توسط یک روتر (روتر یا مودم ADSL) و نقش یک گیرنده توسط یک پایانه کامپیوتر ثابت، لپ تاپ یا دستگاه موبایل، مجهز به ماژول ویژه اتصال بی سیم (Wi-Fi).

با همه اینها، داده هایی که از منبع می آیند در ابتدا رمزگذاری می شوند و تنها پس از آن، با استفاده از رمزگشای خاص، در یک دستگاه خاص تکثیر می شوند. این اصل ارتباط از طریق VPN را تونل زنی می نامند. و این اصل بیشتر با آن سازگار است اتصال تلفن همراه، هنگامی که تغییر مسیر برای یک مشترک خاص رخ می دهد.

تونل زنی شبکه مجازی محلی

بیایید درک کنیم که VPN چگونه در حالت تونل زنی کار می کند. در هسته خود، شامل ایجاد یک خط مستقیم خاص است، مثلاً، از نقطه "A" تا "B"، زمانی که، هنگام انتقال داده ها از یک منبع مرکزی (روتر با اتصال سرور)، تعیین همه دستگاه های شبکهبه طور خودکار طبق یک پیکربندی از پیش تعیین شده انجام می شود.



به عبارت دیگر، یک تونل با رمزگذاری هنگام ارسال داده ها و رمزگشایی هنگام دریافت ایجاد می شود. به نظر می رسد که هیچ کاربر دیگری که سعی می کند این نوع داده ها را در حین انتقال رهگیری کند، نمی تواند آن را رمزگشایی کند.

ابزار اجرا

یکی از قدرتمندترین ابزارها برای این نوع اتصالات و در عین حال تضمین امنیت، سیستم های سیسکو هستند. درست است، برخی از مدیران بی تجربه این سوال را دارند که چرا تجهیزات VPN-Cisco کار نمی کند.



این در درجه اول به دلیل پیکربندی نادرست و درایورهای نصب شده روترهایی مانند D-Link یا ZyXEL است که فقط به دلیل مجهز بودن به فایروال داخلی نیاز به تنظیم دقیق دارند.

علاوه بر این، باید به نمودارهای اتصال نیز توجه کنید. دو مورد از آنها می تواند وجود داشته باشد: مسیر به مسیر یا دسترسی از راه دور. در مورد اول، ما در مورد ترکیب چندین دستگاه توزیع صحبت می کنیم و در مورد دوم، ما در مورد مدیریت اتصال یا انتقال داده با استفاده از دسترسی از راه دور صحبت می کنیم.

دسترسی به پروتکل ها

از نظر پروتکل‌ها، امروزه ابزارهای پیکربندی عمدتاً در سطح PCP/IP استفاده می‌شوند، اگرچه پروتکل‌های داخلی VPN‌ها ممکن است متفاوت باشد.



VPN کار نمی کند؟ گزینه های پنهانی وجود دارد که باید به آنها نگاه کرد. به عنوان مثال، پروتکل های اضافی PPP و PPTP، مبتنی بر فناوری TCP، همچنان به پشته های پروتکل TCP/IP تعلق دارند، اما برای اتصال، مثلاً هنگام استفاده از PPTP، باید به جای آدرس مورد نیاز از دو آدرس IP استفاده کنید. با این حال، در هر صورت، تونل سازی شامل انتقال داده های محصور در پروتکل های داخلی مانند IPX یا NetBEUI است که همگی به هدرهای مبتنی بر PPP ویژه مجهز شده اند تا داده ها را به صورت یکپارچه به درایور شبکه مناسب منتقل کنند.

دستگاه های سخت افزاری

حال بیایید به وضعیتی نگاه کنیم که در آن این سوال مطرح می شود که چرا VPN کار نمی کند. واضح است که مشکل ممکن است مربوط به پیکربندی نادرست تجهیزات باشد. اما ممکن است وضعیت دیگری نیز پیش بیاید.

ارزش توجه به خود روترها را دارد که اتصال را نظارت می کنند. همانطور که در بالا ذکر شد، فقط باید از دستگاه هایی استفاده کنید که پارامترهای اتصال را برآورده می کنند.



به عنوان مثال، روترهایی مانند DI-808HV یا DI-804HV قادر به اتصال تا چهل دستگاه به طور همزمان هستند. در مورد تجهیزات ZyXEL، در بسیاری از موارد حتی می تواند از طریق سیستم عامل شبکه داخلی ZyNOS اجرا شود، اما فقط با استفاده از حالت خط فرمان از طریق پروتکل Telnet. این رویکرد به شما امکان می دهد هر دستگاهی را با انتقال داده در سه شبکه در یک محیط مشترک اترنت با انتقال ترافیک IP پیکربندی کنید و همچنین از آن استفاده کنید. تکنولوژی منحصر به فرد Any-IP، طراحی شده برای استفاده از جدول روتر استاندارد با ترافیک هدایت‌شده به عنوان دروازه برای سیستم‌هایی که در ابتدا برای کار در زیرشبکه‌های دیگر پیکربندی شده بودند.

اگر VPN کار نمی کند (ویندوز 10 و پایین تر) چه باید کرد؟

اولین و مهمترین شرط مطابقت کلیدهای خروجی و ورودی (Pre-Share Keys) است. آنها باید در هر دو انتهای تونل یکسان باشند. همچنین ارزش توجه به الگوریتم های رمزگذاری رمزنگاری (IKE یا Manual) با یا بدون تابع احراز هویت را دارد.



به عنوان مثال، همان پروتکل AH (به انگلیسی - Authentication Header) می تواند تنها مجوز را بدون امکان استفاده از رمزگذاری ارائه دهد.

مشتریان VPN و پیکربندی آنها

در مورد مشتریان VPN، همه چیز در اینجا نیز ساده نیست. اکثر برنامه های مبتنی بر چنین فناوری هایی از روش های پیکربندی استاندارد استفاده می کنند. با این حال، در اینجا تله هایی وجود دارد.

مشکل اینجاست که کلاینت را هر طور که نصب کنید، اگر سرویس در خود سیستم عامل خاموش شود، هیچ چیز خوبی به دست نمی آید. به همین دلیل است که ابتدا باید این تنظیمات را در ویندوز فعال کنید، سپس آنها را در روتر (روتر) فعال کنید و تنها پس از آن شروع به تنظیم خود کلاینت کنید.



شما باید به جای استفاده از یک اتصال موجود، یک اتصال جدید در خود سیستم ایجاد کنید. ما به این موضوع نمی پردازیم، زیرا این روش استاندارد است، اما در خود روتر باید به تنظیمات اضافی بروید (اغلب آنها در منوی نوع اتصال WLAN قرار دارند) و همه چیز مربوط به سرور VPN را فعال کنید.

همچنین شایان ذکر است که باید به عنوان یک برنامه همراه در سیستم نصب شود. اما پس از آن می توان آن را حتی بدون پیکربندی دستی، به سادگی با انتخاب نزدیکترین مکان استفاده کرد.



یکی از محبوب‌ترین و آسان‌ترین آنها یک سرویس‌گیرنده VPN به نام SecurityKISS است. برنامه نصب شده است، اما پس از آن شما حتی نیازی به رفتن به تنظیمات برای اطمینان از ارتباط عادی برای همه دستگاه های متصل به توزیع کننده ندارید.



این اتفاق می افتد که بسته نسبتاً شناخته شده و محبوب Kerio VPN Client کار نمی کند. در اینجا شما باید نه تنها به خود سیستم عامل، بلکه به پارامترهای برنامه مشتری نیز توجه کنید. به عنوان یک قاعده، وارد کردن پارامترهای صحیح به شما امکان می دهد از شر مشکل خلاص شوید. به عنوان آخرین راه حل، باید تنظیمات اتصال اصلی و پروتکل های TCP/IP مورد استفاده (v4/v6) را بررسی کنید.

نتیجه چیست؟

ما به نحوه عملکرد VPN نگاه کردیم. در اصل، هیچ چیز پیچیده ای در مورد اتصال یا ایجاد شبکه هایی از این نوع وجود ندارد. مشکلات اصلی در راه اندازی تجهیزات خاص و تنظیم پارامترهای آن نهفته است که متأسفانه بسیاری از کاربران با تکیه بر این واقعیت که کل فرآیند به اتوماسیون کاهش می یابد از آن غافل می شوند.

از طرف دیگر، ما اکنون بیشتر روی مسائل مربوط به تکنیک های عملکرد خود شبکه های مجازی VPN متمرکز بودیم، بنابراین راه اندازی تجهیزات، نصب درایورهای دستگاه و غیره باید با استفاده از دستورالعمل ها و توصیه های جداگانه انجام شود.

سلول سوختییک دستگاه الکتروشیمیایی شبیه به یک سلول گالوانیکی است، اما تفاوت آن با آن در این است که مواد برای واکنش الکتروشیمیایی از بیرون به آن عرضه می شود - برخلاف مقدار محدود انرژی ذخیره شده در یک سلول گالوانیکی یا باتری.











برنج. 1. برخی از سلول های سوختی




پیل های سوختی انرژی شیمیایی سوخت را به الکتریسیته تبدیل می کنند و فرآیندهای احتراق ناکارآمدی را که با ضررهای بزرگ. آنها هیدروژن و اکسیژن را از طریق یک واکنش شیمیایی به الکتریسیته تبدیل می کنند. در نتیجه این فرآیند آب تشکیل می شود و مقدار زیادی گرما آزاد می شود. پیل سوختی بسیار شبیه باتری است که می تواند شارژ شود و سپس از انرژی الکتریکی ذخیره شده استفاده کند. مخترع پیل سوختی ویلیام آر گروو است که در سال 1839 آن را اختراع کرد. این پیل سوختی از محلول اسید سولفوریک به عنوان الکترولیت و هیدروژن به عنوان سوخت استفاده می کرد که در یک عامل اکسید کننده با اکسیژن ترکیب می شد. تا همین اواخر، پیل های سوختی فقط در آزمایشگاه ها و فضاپیماها استفاده می شد.











برنج. 2.




برخلاف سایر مولدهای برق مانند موتورها احتراق داخلییا توربین هایی که روی گاز، زغال سنگ، نفت کوره و غیره کار می کنند، پیل های سوختی سوخت نمی سوزانند. این به این معنی است که روتورهای نویز ندارند فشار بالا، صدای بلند اگزوز، ارتعاشات. پیل های سوختی از طریق یک واکنش الکتروشیمیایی بی صدا الکتریسیته تولید می کنند. یکی دیگر از ویژگی های پیل های سوختی این است که انرژی شیمیایی سوخت را مستقیماً به برق، گرما و آب تبدیل می کنند.




پیل های سوختی بسیار کارآمد هستند و تولید نمی کنند مقدار زیاد گازهای گلخانه ایمانند دی اکسید کربن، متان و اکسید نیتروژن. تنها انتشار گازهای گلخانه ای آب به شکل بخار و مقدار کمی دی اکسید کربن است که در صورت استفاده از هیدروژن خالص به عنوان سوخت، به هیچ وجه آزاد نمی شود. سلول های سوختی در مجموعه ها و سپس به ماژول های عملکردی منفرد مونتاژ می شوند.




پیل های سوختی هیچ بخش متحرکی ندارند (حداقل نه در خود سلول) و بنابراین از قانون کارنو تبعیت نمی کنند. یعنی بازدهی بیش از 50 درصد خواهند داشت و به ویژه در بارهای کم موثر هستند. بنابراین، وسایل نقلیه پیل سوختی می توانند (و قبلاً ثابت شده اند) مصرف سوخت بیشتری داشته باشند ماشین های معمولیدر شرایط رانندگی واقعی




پیل سوختی جریان الکتریکی تولید می کند ولتاژ DC، که می تواند برای راندن موتور الکتریکی، دستگاه های سیستم روشنایی و غیره استفاده شود سیستم های الکتریکیدر ماشین.




انواع مختلفی از سلول های سوختی وجود دارد که در فرآیندهای شیمیایی مورد استفاده متفاوت است. پیل های سوختی معمولا بر اساس نوع الکترولیت مورد استفاده طبقه بندی می شوند.




برخی از انواع سلول های سوختی برای استفاده به عنوان امیدوار کننده هستند نیروگاه هانیروگاه ها، در حالی که سایرین برای دستگاه های قابل حمل یا رانندگی اتومبیل استفاده می شوند.

1. پیل های سوختی قلیایی (ALFC)

پیل سوختی قلیایی- این یکی از اولین عناصر توسعه یافته است. پیل‌های سوختی قلیایی (AFC) یکی از فناوری‌های مورد مطالعه است که از اواسط دهه 60 قرن بیستم توسط ناسا در برنامه‌های آپولو و شاتل فضایی استفاده شد. روی اینها سفینه های فضاییسلول های سوختی انرژی الکتریکی و آب آشامیدنی تولید می کنند.










برنج. 3.




پیل‌های سوختی قلیایی یکی از کارآمدترین پیل‌هایی هستند که برای تولید برق مورد استفاده قرار می‌گیرند و راندمان تولید برق تا 70 درصد می‌رسد.




پیل های سوختی قلیایی از یک الکترولیت استفاده می کنند، به عنوان مثال. محلول آبهیدروکسید پتاسیم موجود در یک ماتریس تثبیت شده متخلخل. غلظت هیدروکسید پتاسیم ممکن است بسته به دمای عملکرد پیل سوختی متفاوت باشد که از 65 درجه سانتیگراد تا 220 درجه سانتیگراد متغیر است. حامل بار در SHTE یون هیدروکسیل (OH-) است که از کاتد به آند حرکت می کند و در آنجا با هیدروژن واکنش می دهد و آب و الکترون تولید می کند. آب تولید شده در آند به کاتد باز می گردد و دوباره در آنجا یون های هیدروکسیل تولید می کند. در نتیجه این سلسله واکنش هایی که در پیل سوختی انجام می شود، الکتریسیته و به عنوان یک محصول جانبی، گرما تولید می شود:




واکنش در آند: 2H2 + 4OH- => 4H2O + 4e




واکنش در کاتد: O2 + 2H2O + 4e- => 4OH




واکنش عمومی سیستم: 2H2 + O2 => 2H2O




مزیت SHTE این است که این پیل‌های سوختی ارزان‌ترین تولید هستند، زیرا کاتالیزور مورد نیاز روی الکترودها می‌تواند هر یک از مواد ارزان‌تر از موادی باشد که به عنوان کاتالیزور برای سایر پیل‌های سوختی استفاده می‌شوند. علاوه بر این، SHTE ها در دمای نسبتاً پایین کار می کنند و از کارآمدترین ها هستند.




یکی از ویژگی های مشخصه SHTE حساسیت بالای آن به CO2 است که ممکن است در سوخت یا هوا موجود باشد. CO2 با الکترولیت واکنش نشان می دهد، به سرعت آن را مسموم می کند و کارایی پیل سوختی را بسیار کاهش می دهد. بنابراین، استفاده از SHTE محدود به فضاهای بسته است، مانند فضا و وسایل نقلیه زیر آب؛ آنها با هیدروژن و اکسیژن خالص کار می کنند.

2. سلول های سوختی کربنات مذاب (MCFC)

سلول های سوختی با الکترولیت کربنات مذابپیل های سوختی با دمای بالا هستند. دمای عملیاتی بالا اجازه استفاده مستقیم را می دهد گاز طبیعیبدون پردازنده سوخت و گاز سوختبا ارزش حرارتی پایین سوخت فرآیندهای تولیدو از منابع دیگر این فرآینددر اواسط دهه 60 قرن بیستم توسعه یافت. از آن زمان، فناوری تولید، عملکرد و قابلیت اطمینان بهبود یافته است.










برنج. 4.




عملکرد RCFC با سایر پیل های سوختی متفاوت است. این سلول ها از الکترولیت ساخته شده از مخلوط نمک های کربنات مذاب استفاده می کنند. در حال حاضر از دو نوع مخلوط استفاده می شود: کربنات لیتیوم و کربنات پتاسیم یا کربنات لیتیوم و کربنات سدیم. برای ذوب نمک های کربناته و رسیدن به درجه بالابه دلیل تحرک یون ها در الکترولیت، عملکرد پیل های سوختی با الکترولیت کربنات مذاب در دمای بالا (650 درجه سانتی گراد) انجام می شود. راندمان بین 60-80 درصد متغیر است.




هنگامی که تا دمای 650 درجه سانتیگراد گرم می شود، نمک ها به رسانایی برای یون های کربنات (CO32-) تبدیل می شوند. این یون ها از کاتد به آند عبور می کنند و در آنجا با هیدروژن ترکیب می شوند و آب، دی اکسید کربن و الکترون های آزاد را تشکیل می دهند. این الکترون ها در امتداد خارجی هدایت می شوند مدار الکتریکیبازگشت به کاتد، که تولید می کند برقو گرما به عنوان یک محصول جانبی.




واکنش در آند: CO32- + H2 => H2O + CO2 + 2e




واکنش در کاتد: CO2 + 1/2O2 + 2e- => CO32-




واکنش کلی عنصر: H2 (g) + 1/2O2 (g) + CO2 (کاتد) => H2O (g) + CO2 (آند)




دمای بالای عملکرد پیل های سوختی الکترولیت کربنات مذاب دارای مزایای خاصی است. مزیت آن قابلیت استفاده از مواد استاندارد (ورق های فولادی ضد زنگ و کاتالیزور نیکل روی الکترودها) است. از گرمای هدر رفته می توان برای تولید بخار با فشار بالا استفاده کرد. دمای واکنش بالا در الکترولیت نیز مزایای خود را دارد. استفاده از دماهای بالا به زمان طولانی برای دستیابی به شرایط عملیاتی بهینه نیاز دارد و سیستم به تغییرات مصرف انرژی کندتر پاسخ می دهد. این ویژگی ها امکان استفاده از تاسیسات پیل سوختی با الکترولیت کربنات مذاب را در شرایط توان ثابت می دهد. دمای بالا از آسیب دیدن پیل سوختی توسط مونوکسید کربن، "مسمومیت" و غیره جلوگیری می کند.




پیل های سوختی با الکترولیت کربنات مذاب برای استفاده در تاسیسات ثابت بزرگ مناسب هستند. نیروگاه های حرارتی با خروجی قدرت الکتریکی 2.8 مگاوات تاسیسات با توان خروجی تا 100 مگاوات در حال توسعه هستند.

3. پیل های سوختی اسید فسفریک (PAFC)

پیل های سوختی بر پایه اسید فسفریک (ارتوفسفریک).اولین پیل سوختی برای استفاده تجاری شد. این فرآیند در اواسط دهه 60 قرن بیستم توسعه یافت، آزمایشات از دهه 70 قرن بیستم انجام شده است. نتیجه افزایش پایداری و عملکرد و کاهش هزینه بود.











برنج. 5.




پیل های سوختی اسید فسفریک (ارتوفسفریک) از الکترولیت مبتنی بر اسید ارتوفسفریک (H3PO4) در غلظت های تا 100٪ استفاده می کنند. رسانایی یونی اسید اورتوفسفریک پایین است دمای پایینبنابراین از این پیل های سوختی در دمای 150-220 درجه سانتی گراد استفاده می شود.




حامل شارژ در پیل های سوختی از این نوعهیدروژن (H+، پروتون) است. فرآیند مشابهی در سلول‌های سوختی غشای تبادل پروتون (PEMFC) رخ می‌دهد که در آن هیدروژن عرضه شده به آند به پروتون و الکترون تقسیم می‌شود. پروتون ها از طریق الکترولیت حرکت می کنند و با اکسیژن هوا در کاتد ترکیب می شوند و آب را تشکیل می دهند. الکترون ها از طریق یک مدار الکتریکی خارجی فرستاده می شوند و در نتیجه جریان الکتریکی ایجاد می کنند. در زیر واکنش هایی وجود دارد که جریان الکتریکی و گرما تولید می کنند.




واکنش در آند: 2H2 => 4H+ + 4e




واکنش در کاتد: O2(g) + 4H+ + 4e- => 2H2O




واکنش کلی عنصر: 2H2 + O2 => 2H2O




راندمان پیل های سوختی مبتنی بر اسید فسفریک (ارتوفسفریک) در هنگام تولید انرژی الکتریکی بیش از 40 درصد است. با تولید ترکیبی گرما و برق، راندمان کلی حدود 85٪ است. علاوه بر این، با توجه به دمای عملیاتی، گرمای اتلاف را می توان برای گرم کردن آب و تولید بخار فشار اتمسفر استفاده کرد.




عملکرد بالای نیروگاه های حرارتی با استفاده از پیل های سوختی بر پایه اسید فسفریک (ارتوفسفریک) در تولید ترکیبی انرژی حرارتی و الکتریکی از مزایای این نوع پیل های سوختی است. این واحدها از مونوکسید کربن با غلظت حدود 1.5 درصد استفاده می کنند که به طور قابل توجهی انتخاب سوخت را افزایش می دهد. طراحی سادهدرجه پایین فرار الکترولیت ها و افزایش پایداری نیز از مزایای چنین پیل های سوختی است.




نیروگاه های حرارتی با توان خروجی الکتریکی تا 400 کیلووات به صورت تجاری تولید می شوند. تاسیسات با ظرفیت 11 مگاوات تست های مناسب را پشت سر گذاشته اند. تاسیسات با توان خروجی تا 100 مگاوات در حال توسعه هستند.

4. سلول های سوختی غشای تبادل پروتون (PEMFC)

سلول های سوختی غشای تبادل پروتونبیشترین در نظر گرفته می شوند بهترین نوعپیل های سوختی برای تولید برق وسیله نقلیه، که می تواند جایگزین بنزین و موتورهای دیزلیاحتراق داخلی این سلول های سوختی اولین بار توسط ناسا برای برنامه جمینی استفاده شد. تاسیسات مبتنی بر MOPFC با توان 1 وات تا 2 کیلو وات توسعه یافته و نشان داده شده است.











برنج. 6.




الکترولیت موجود در این پیل‌های سوختی یک غشای پلیمری جامد (یک لایه پلاستیکی نازک) است. وقتی این پلیمر با آب اشباع می شود، به پروتون ها اجازه عبور می دهد اما الکترون ها را هدایت نمی کند.




سوخت هیدروژن است و حامل بار یک یون هیدروژن (پروتون) است. در آند، مولکول هیدروژن به یک یون هیدروژن (پروتون) و الکترون تقسیم می شود. یون های هیدروژن از طریق الکترولیت به کاتد می گذرد و الکترون ها در اطراف دایره بیرونی حرکت می کنند و انرژی الکتریکی تولید می کنند. اکسیژنی که از هوا گرفته می شود به کاتد می رسد و با الکترون ها و یون های هیدروژن ترکیب می شود و آب را تشکیل می دهد. واکنش های زیر در الکترودها رخ می دهد: واکنش در آند: 2H2 + 4OH- => 4H2O + 4e واکنش در کاتد: O2 + 2H2O + 4e- => 4OH واکنش کلی سلول: 2H2 + O2 => 2H2O در مقایسه با انواع دیگر پیل‌های سوختی، سلول‌های سوختی با غشای تبادل پروتون انرژی بیشتری برای حجم یا وزن معین پیل سوختی تولید می‌کنند. این ویژگی باعث می شود تا آنها جمع و جور و سبک باشند. علاوه بر این، دمای کار کمتر از 100 درجه سانتیگراد است که به شما اجازه می دهد تا به سرعت کار را شروع کنید. این ویژگی‌ها و همچنین توانایی تغییر سریع انرژی خروجی، تنها مواردی هستند که این سلول‌های سوختی را به کاندیدای اصلی برای استفاده در وسایل نقلیه تبدیل می‌کنند.




مزیت دیگر این است که الکترولیت جامد است تا مایع. نگه داشتن گازها در کاتد و آند با استفاده از الکترولیت جامد آسان تر است، بنابراین تولید چنین سلول های سوختی ارزان تر است. با یک الکترولیت جامد، هیچ مشکل جهت گیری وجود ندارد و مشکلات خوردگی کمتری وجود دارد که باعث افزایش طول عمر سلول و اجزای آن می شود.











برنج. 7.

5. پیل های سوختی اکسید جامد (SOFC)

سلول های سوختی اکسید جامدبالاترین دمای عملیاتی سلول های سوختی هستند. دمای کاریمی تواند از 600 درجه سانتیگراد تا 1000 درجه سانتیگراد متغیر باشد که امکان استفاده را فراهم می کند انواع مختلفسوخت بدون پیش تصفیه خاص برای کنترل چنین دماهای بالایی، الکترولیت مورد استفاده یک اکسید فلزی جامد نازک روی یک پایه سرامیکی است که اغلب آلیاژی از ایتریم و زیرکونیوم است که رسانای یون‌های اکسیژن (O2-) است. فن آوری استفاده از سلول های سوختی اکسید جامد از اواخر دهه 50 قرن بیستم در حال توسعه است و دارای دو پیکربندی است: مسطح و لوله ای.




الکترولیت جامد انتقال مهر و موم شده گاز از یک الکترود به الکترود دیگر را فراهم می کند، در حالی که الکترولیت های مایع در یک بستر متخلخل قرار دارند. حامل بار در پیل های سوختی از این نوع، یون اکسیژن (O2-) است. در کاتد، مولکول های اکسیژن هوا به یک یون اکسیژن و چهار الکترون جدا می شوند. یون های اکسیژن از الکترولیت عبور می کنند و با هیدروژن ترکیب می شوند و چهار الکترون آزاد ایجاد می کنند. الکترون ها از طریق یک مدار الکتریکی خارجی فرستاده می شوند و جریان الکتریکی تولید می کنند و گرمای هدر می دهند.











برنج. 8.




واکنش در آند: 2H2 + 2O2- => 2H2O + 4e




واکنش در کاتد: O2 + 4e- => 2O2-




واکنش کلی عنصر: 2H2 + O2 => 2H2O




راندمان تولید انرژی الکتریکی در بین تمام سلول های سوختی بالاترین است - حدود 60٪. علاوه بر این، دمای عملیاتی بالا امکان تولید ترکیبی انرژی حرارتی و الکتریکی را برای تولید بخار با فشار بالا فراهم می کند. ترکیب پیل سوختی با دمای بالا با توربین، ایجاد یک پیل سوختی هیبریدی را ممکن می سازد تا بازده تولید انرژی الکتریکی را تا 70 درصد افزایش دهد.




پیل های سوختی اکسید جامد در دماهای بسیار بالا (600 درجه سانتیگراد تا 1000 درجه سانتیگراد) کار می کنند، در نتیجه زمان قابل توجهی برای رسیدن به شرایط عملیاتی بهینه و پاسخ کندتر سیستم به تغییرات مصرف انرژی لازم است. در چنین دماهای عملیاتی بالا، هیچ مبدلی برای بازیابی هیدروژن از سوخت مورد نیاز نیست و به نیروگاه حرارتی اجازه می دهد تا با سوخت های نسبتا ناخالص ناشی از تبدیل به گاز زغال سنگ یا گازهای زائد و غیره کار کند. این پیل سوختی همچنین برای استفاده بسیار عالی است قدرت بالااز جمله نیروگاه های صنعتی و بزرگ مرکزی. ماژول هایی با توان خروجی الکتریکی 100 کیلووات به صورت تجاری تولید می شوند.

6. پیل های سوختی اکسیداسیون مستقیم متانول (DOMFC)

پیل های سوختی اکسیداسیون مستقیم متانولآنها با موفقیت در زمینه تأمین انرژی تلفن های همراه، لپ تاپ ها و همچنین برای ایجاد منابع برق قابل حمل استفاده می شوند، که هدف آینده استفاده از چنین عناصری است.




طراحی پیل‌های سوختی با اکسیداسیون مستقیم متانول مشابه طراحی پیل‌های سوختی با غشای تبادل پروتون (MEPFC) است. پلیمر به عنوان الکترولیت و یون هیدروژن (پروتون) به عنوان حامل بار استفاده می شود. اما متانول مایع (CH3OH) در حضور آب در آند اکسید می‌شود و CO2، یون‌های هیدروژن و الکترون‌ها را آزاد می‌کند که از طریق یک مدار الکتریکی خارجی فرستاده می‌شوند و در نتیجه جریان الکتریکی تولید می‌کنند. یون‌های هیدروژن از الکترولیت عبور می‌کنند و با اکسیژن هوا و الکترون‌های مدار خارجی واکنش می‌دهند تا آب را در آند تشکیل دهند.




واکنش در آند: CH3OH + H2O => CO2 + 6H+ + 6e واکنش در کاتد: 3/2O2 + 6H+ + 6e- => 3H2O واکنش کلی عنصر: CH3OH + 3/2O2 => CO2 + 2H2O توسعه چنین پیل های سوختی از اوایل دهه 90 قرن بیستم ساخته شده و قدرت و بازده ویژه آنها به 40 درصد افزایش یافته است.




این عناصر در محدوده دما 50-120 درجه سانتیگراد این پیل‌های سوختی به دلیل دمای پایین عملکرد و عدم نیاز به مبدل، کاندیدای اصلی برای استفاده در تلفن‌های همراه و سایر محصولات مصرفی و همچنین در موتورهای خودرو هستند. مزیت آنها نیز اندازه کوچک آنهاست.

7. سلول های سوختی الکترولیت پلیمری (PEFC)







در مورد سلول های سوختی الکترولیت پلیمری، غشای پلیمری از الیاف پلیمری با نواحی آبی تشکیل شده است که در آن یون های آب رسانا H2O+ (پروتون، قرمز) به مولکول آب متصل می شوند. مولکول های آب به دلیل تبادل یونی کند مشکل ایجاد می کنند. بنابراین، غلظت بالایی از آب هم در سوخت و هم در الکترودهای خروجی مورد نیاز است که دمای کار را به 100 درجه سانتیگراد محدود می کند.

8. پیل سوختی اسید جامد (SFC)








در سلول های سوختی اسید جامد، الکترولیت (CsHSO4) حاوی آب نیست. بنابراین دمای عملیاتی 100-300 درجه سانتیگراد است. چرخش اکسیانیون های SO42 به پروتون ها (قرمز) اجازه می دهد تا همانطور که در شکل نشان داده شده است حرکت کنند. به طور معمول، یک پیل سوختی اسید جامد ساندویچی است که در آن یک لایه بسیار نازک از ترکیب اسید جامد بین دو الکترود محکم فشرده شده قرار می‌گیرد تا تامین شود. تماس خوب. هنگامی که گرم می شود، جزء آلی تبخیر می شود و از طریق منافذ الکترودها خارج می شود و توانایی تماس های متعدد بین سوخت (یا اکسیژن در انتهای دیگر عنصر)، الکترولیت و الکترودها را حفظ می کند.











برنج. 9.

9. مقایسه مهم ترین ویژگی های پیل های سوختی

ویژگی های پیل های سوختی

نوع پیل سوختی	دمای عملیاتی	راندمان تولید برق	نوع سوخت	دامنه کاربرد
				تاسیسات متوسط ​​و بزرگ
			هیدروژن خالص	تاسیسات
			هیدروژن خالص	تاسیسات کوچک
			اکثر سوخت های هیدروکربنی	تاسیسات کوچک، متوسط ​​و بزرگ
				قابل حمل تاسیسات
			هیدروژن خالص	فضا تحقیق کرد
			هیدروژن خالص	تاسیسات کوچک





برنج. 10.

10. استفاده از پیل سوختی در خودروها








برنج. یازده











برنج. 12.