Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Министерство науки и высшего образования Российской Федерации

Федеральное государственное бюджетное

образовательное учреждение высшего образования

«Комсомольский-на-Амуре государственный университет»

Факультет компьютерных технологий

Кафедра «Информационная безопасность автоматизированных систем»

КУРСОВАЯ РАБОТА

по дисциплине «Сети и системы передачи информации»

Настройка GRE протокола

Студент А.А. Савкин

Содержание

• Введение
• 1. Определение GRE
• 2. Альтернативы GRE-туннелей
• 2.1 PPTP
• 2.2 L2TP
• 2.3 mGRE
• 2.4 IPSec
• 2.5 PPPoE
• 2.6 L2F
• 2.7 BGP
• 3. Настройка и создание GRE туннеля
• 3.1 Создание схемы и базовая настройка
• 3.2 Создание GRE туннеля
• 4 Настройка GRE over IPSec
• Заключение
• Список испопльзованных источников

Введение

Для обеспечения безопасного сетевого соединения с распределенными подразделениями компании организуется виртуальная частная сеть (Virtual Private Networks, VPN), которая использует набор технологий, гарантирующих секретность, защиту и целостность данных, передаваемых по сети общего пользования. Слово «частный» в данном контексте означает, что передача данных между удаленными пользователями корпоративной сети компании осуществляется в зашифрованном виде, что позволяет говорить о создании безопасного канала связи -- «туннеля». В качестве среды транспортировки шифрованных данных используется Интернет.

Технология VPN отвечает основополагающим критериям сохранности информации: целостность, конфиденциальность, авторизованный доступ. При правильном выборе VPN обеспечивается масштабирование, то есть использование VPN не создаст проблем роста и поможет сохранить сделанные инвестиции в случае расширения бизнеса. Да и в сравнении с выделенными линиями и сетями на основе Frame Relay виртуальные частные сети не менее надежны в плане защиты информации, однако в 5-10, а иногда и в 20 раз дешевле.

Одним из недостатков VPN является падение производительности сети, связанное с криптографической обработкой трафика, проходящего через VPN-устройство. Возникающие задержки можно разделить на три основных типа:

1. задержки при установлении защищенного соединения между VPN-устройствами;

2. задержки, связанные с зашифровыванием и расшифровыванием защищаемых данных, а также с преобразованиями, необходимыми для контроля их целостности;

3. задержки, связанные с добавлением нового заголовка к передаваемым пакетам.

1. Определение GRE

GRE (Generic Routing Encapsulation) - протокол инкапсуляции, который широко применяется как сам по себе, так и в совокупности с IPSec для создания туннелей.

Сам по себе GRE не обеспечивает никакой безопасности передаваемых данных - это site-to-site VPNтуннель в чистом виде. Используется обычно такой туннель, когда есть специфичные задачи, связанные с маршрутизацией и нет требований к безопасности. Не стоит забывать, что чистый GRE туннель - не нагружает оборудование, а нагрузка при шифровании большого объёма данных весьма существенна.

Протокол GRE инкапсулируется напрямую в IP, минуя TCP или UDP, в IP пакете есть специальное поле «Protocol type», в котором содержится число, обозначающее протокол, инкапсулированный в данный IP пакет, для GRE protocol type равен 47. В связи с этим, если в сети есть GRE туннели, то стоит внимательно относиться к написанию расширенных списков контроля доступа (ACL), так как permit tcp any any и permit udp any any приведут к запрету на GRE из-за того, что он инкапсулируется напрямую в пакет, надо писать либо permit ip any any либо permit gre any any.

Схема инкапсуляции GRE выглядит следующим образом (рисунок 1).

Рисунок 1 - Схема инкапсуляции GRE

Как видно, IP инкапсулируется в GRE, который инкапсулируется в IP. При этом заголовок GRE и заголовок внешнего IP пакета добавляют 24 байта, соответственно, уменьшая размер пакета на эту величину.

Туннелирование подразумевает три протокола:

· пассажир - инкапсулированный протокол (IP, CLNP, IPX, AppleTalk, DECnet Phase IV, XNS, VINES и Apollo)

· протокол инкапсуляции (GRE)

· транспортный протокол (UDP)

Пример применения:

Используется в сочетании с PPTP для создания виртуальных частных сетей.

Применяется в технологии WDS для координации действий точек доступа и контроллера WDS.

Используется в технологиях мобильного IP

Пример стека протоколов

Таблица 1.1 - Стеки протоколов

Уровень модели OSI	Протокол
Сеансовый	X.225
Транспортный	UDP
Сетевой (GRE-инкапсуляция)	IPv6
Инкапсуляция	GRE
Сетевой	IPv4
Канальный	Ethernet
Физический	Ethernet

Как можно понять из схемы, инкапсуляция (не обязательно GRE) нарушает иерархию в модели OSI. Это явление можно рассматривать как разделитель между двумя стеками протоколов, где один выступает "поставщиком услуг" для другого.

Проблема DF-бита

В связи со служебным заголовком размер передаваемых данных внутри IP-пакета через GRE-туннель уменьшается при сохранении общего размера пакета. В IP-пакете предусмотрено наличие бита DF (do not fragment), запрещающего разделение пакета на несколько при передаче через среду с меньшим размером MTU. В этом случае пакет с размером полезной области данных (англ. payload), превышающим MTU IP пакета в GRE-туннеле, отбрасывается, что приводит к потерям пакетов при существенной нагрузке (проходят пакеты малого размера, такие как SYN-пакеты TCP, ICMP-сообщения (ping), но теряются пакеты с данными в TCP-потоке (то есть, соединение рвётся)). Для решения этой проблемы рекомендуется использовать path-mtu-discovery (определение TCP MSS, то есть максимального размера IP-пакетов на всём пути) при передаче данных через GRE-туннель, чтобы избежать избыточной фрагментации или потери больших пакетов.

Проблема NATа

Так как GRE является протоколом сетевого уровня и не использует порты (в отличие от протоколов TCP и UDP), а одним из необходимых условий работы механизма PATявляется наличие «открытого» порта, то работа протокола GRE через межсетевой экран может быть затруднена.

Частным случаем решения проблемы для протокола PPTP является технология PPTP Passthrough, в этом случае межсетевой экран «разрешает» исходящие (клиентские) подключения из защищённой сети.

2. Альтернативы GRE-туннелей

2.1 PPTP

Принцип работы PPTP

Сетевые протоколы функционируют путем обмена порциями данных, называемыми пакетами. Пакет состоит из управляющей информации, специфичной для протокола, и собственно данных, которые должны быть переданы; их часто называют полезной нагрузкой. До тех пор пока обмен данными происходит достаточно быстро и без ошибок, нас не волнует, какую управляющую информацию добавляет протокол для своих целей. Но она жизненно важна и должна сохраняться неизменной, если два компьютера собираются обмениваться данными, вне зависимости от среды соединения.

PPTP работает путем инкапсуляции "родных" пакетов локальной сети - например, пакетов IPX - внутрь пакетов TCP/IP. Весь пакет IPX, включая его управляющую информацию, становится полезной нагрузкой для пакета TCP/IP, который затем можно передавать по Internet. Программные средства на другом конце линии связи извлекают пакет IPX и направляют его для нормальной обработки в соответствии с его собственным протоколом. Этот процесс называется туннелированием - вероятно, потому, что создается коридор в Internet, соединяющий два узла.

Туннелирование позволяет не только экономить на стоимости дальних звонков, но и повышать степень защиты данных. Поскольку туннель соединяет два совместимых протокола с сетью Windows NT, операционная система может выполнять всеобъемлющие проверки надежности защиты, которые она проводит в самой локальной сети. Таким путем соединение может обеспечить принятую в Windows NT аутентификацию пользователей по протоколам PAP (Password Authentication Protocol) или CHAP (Challenge Handshake Authentication Protocol). Более того, PPTP позволяет передавать данные, зашифрованные RSA-методами RC-4 или DES. Если безопасность подключения к сети VPN является критическим фактором, администратор сервера может указать, что сервер будет принимать посредством дистанционного соединения только пакеты PPTP, но это предотвратит использование сервера в режиме открытого доступа по линии Web или FTP. Однако, если имеется более одного сервера и если нужно обеспечить наивысшую защиту, такое решение - вполне приемлемый вариант.

Но даже при всех подобных мерах безопасности единственным специальным программным обеспечением для клиента служит сам протокол PPTP плюс программа связи по модему, которая может соединить с сетью VPN. И даже это не является необходимым, если у поставщика услуг Internet есть средства работы с PPTP, позволяющие безопасно передавать любые данные по стандартному протоколу PPP (Point-to-Point Protocol - протокол соединения "точка - точка"). Без поставщика, способного работать с PPTP, Windows NT обеспечивает защиту посредствам обратного набора телефонного номера.

Процесс связи по протоколу PPTP

Поскольку вся идея дистанционного доступа состоит в разрешении машине клиента подключаться по телефонной линии к машине сервера, соединение PPTP инициируется клиентом, который использует служебное средство Windows NT - Remote Access Service (RAS) - для установления PPP-соединения с поставщиком услуг Internet. Затем при активизированном соединении PPP с помощью сервера, подключенного к Internet и действующего как сервер RAS, клиент применяет RAS для выполнения второго соединения. На этот раз в поле номера телефона указывается IP-адрес (имя или номер), и клиент, для того чтобы осуществить соединение, вместо COM-порта использует VPN-порт (VPN-порты конфигурируются на машинах клиента и сервера в процессе инсталляции PPTP).

Ввод IP-адреса инициирует передачу запроса серверу на начало сеанса. Клиент ожидает от сервера подтверждения имени пользователя и пароля и ответа сообщением, что соединение установлено. В этот момент начинает свою работу канал PPTP, и клиент может приступить к туннелированию пакетов серверу. Поскольку они могут быть пакетами IPX и NetBEUI, сервер может выполнять с ними свои обычные процедуры обеспечения защиты.

В основе обмена данными по протоколу PPTP лежит управляющее соединение PPTP - последовательность управляющих сообщений, которые устанавливают и обслуживают туннель. Полное соединение PPTP состоит только из одного соединения TCP/IP, которое требует передачи эхо-команд для поддержания его открытым, пока выполняются транзакции. В таблице 2.1 показаны эти сообщения и их функциональное назначение.

Таблица 2.1 - Управляющие сообщения PPTP

Управляющее сообщение	Функция
Start-Control-Connection-Request	Запрос на установление управляющего соединения
Start-Control-Connection-Replay	Ответ на сообщение Start-Control-Connection-Request
Echo-Request	Сообщение "Keep-alive" ("все живы") для управляющего соединения
Echo-Replay	Ответ на сообщение Echo-Request
Set-Link-Info	Посылается сервером сети для задания PPP-параметров переговоров
Stop-Control-Connection-Request	Команда завершить управляющее соединение
Stop-Control-Connection-Replay	Ответ на сообщение Stop-Control-Connection-Request

2.2 L2TP

L2TP - в компьютерных сетях туннельный протокол, использующийся для поддержки виртуальных частных сетей. Главное достоинство L2TP состоит в том, что этот протокол позволяет создавать туннель не только в сетях IP, но и в таких, как ATM, X.25 и Frame Relay.

Несмотря на то, что L2TP действует наподобие протокола канального уровня модели OSI, на самом деле он является протоколом сеансового уровня и использует зарегистрированный UDP-порт 1701.

На рисунке 2 показана схема работы протокола L2TP.

- LAN - локальные сети (Local Area Network), к которым подключаются через L2TP;

- ЭВМ - компьютер(ы), подключённые к локальной сети напрямую;

- LNS - L2TP Network Server, сервер доступа к локальной сети по L2TP;

- LAC - L2TP Access Concentrator, устройство для прозрачного подключения своих пользователей к LNS через сеть той или иной архитектуры;

- Удалённая система -- система, желающая подключиться к LAN через L2TP;

- Клиент LAC - ЭВМ, которая сама для себя исполняет роль LAC для подключения к LNS;

- PSTN - коммутируемая телефонная сеть (Public Switched Telephone Network);

- Интернет, Сеть Frame Relay или ATM -- сети разных архитектур.

Целью здесь является туннелирование кадров PPP между удаленной системой или клиентом LAC и LNS, размещенном в LAN[3].

Удаленная система инициирует PPP-соединение с LAC через коммутируемую телефонную сеть PSTN (Public Switched Telephone Network). LAC затем прокладывает туннель для PPP-соединения через Интернет, Frame Relay или ATM к LNS, и таким образом осуществляется доступ к исходной LAN. Адреса удаленной системе предоставляются исходной LAN через согласование с PPP NCP. Аутентификация, авторизация и аккаунтинг могут быть предоставлены областью управления LAN, как если бы пользователь был непосредственно соединен с сервером сетевого доступа NAS.

LAC-клиент (ЭВМ, которая исполняет программу L2TP) может также участвовать в туннелировании до исходной LAN без использования отдельного LAC, если ЭВМ, содержащая программу LAC-клиента, уже имеет соединение с Интернет. Создается «виртуальное» PPP-соединение, и локальная программа L2TP LAC формирует туннель до LNS. Как и в вышеописанном случае, адресация, аутентификация, авторизация и аккаунтинг будут обеспечены областью управления исходной LAN (рис. 2).



Рисунок 2 - Схема работы L2TP

2.3 mGRE

Альтернативой GRE-туннелей точка-точка является multipoint GRE (mGRE) туннель, который позволяет терминировать на себе несколько GRE-туннелей. mGRE-туннель позволяет одному GRE-интерфейсу поддерживать несколько IPsec-туннелей и упрощает количество и сложность настроек, по сравнению с GRE-туннелями точка-точка.

Кроме того, mGRE-интерфейс позволяет использовать динамически назначенные IP-адреса на spoke-маршрутизаторах.

То, как выглядит сеть mGRE-туннелей, мы можем наблюдать на рис. 3.

2.4 IPSec

Стандарт IPSec был разработан для повышения безопасности IP протокола. Это достигается за счёт дополнительных протоколов, добавляющих к IP пакету собственные заголовки, которые называются инкапсуляциями. Т.к. IPSec - стандарт Интернет, то для него существуют RFC (Requests For Comments):

Рисунок 3 - Сеть mGRE-туннелей

1) RFC 2401 IPSec;

2) RFC 2402 AH;

3) RFC 2406 ESP;

4) RFC 2409 IKE.

Приведём краткое описание каждого. Начнём с сокращений, а затем посмотрим как они укладываются в общую картину создания виртуальной частной сети.

AH (Authentication Header) - протокол заголовка идентификации. Обеспечивает целостность путём проверки того, что ни один бит в защищаемой части пакета не был изменён во время передачи. Не будем вдаваться в подробности, какая часть пакета защищается и где находятся данные AH заголовка, т.к. это зависит от используемого типа шифрования и в деталях, с диаграммами описывается в соответствующем RFC. Отметим лишь, что использование AH может вызвать проблемы, например, при прохождении пакета через NAT устройство. NAT меняет IP адрес пакета, чтобы разрешить доступ в Интернет с закрытого локального адреса. Т.к. пакет в таком случае изменится, то контрольная сумма AH станет неверной. Также стоит отметить, что AH разрабатывался только для обеспечения целостности. Он не гарантирует конфиденциальности путём шифрования содержимого пакета.

ESP (Encapsulating Security Protocol) - инкапсулирующий протокол безопасности, который обеспечивает и целостность и конфиденциальность. В режиме транспорта ESP заголовок находится между оригинальным IP заголовком и заголовком TCP или UDP. В режиме туннеля заголовок ESP размещается между новым IP заголовком и полностью зашифрованным оригинальным IP пакетом.

Т.к. оба протокола - AH и ESP добавляют собственные заголовки, они имеют свой ID протокола, по которому можно определить что последует за заголовком IP. При работе через firewall важно не забыть настроить фильтры, чтобы пропускать пакеты с ID AH и/или ESP протокола. Для AH номер ID - 51, а ESP имеет ID протокола равный 50. При создании правила не забывайте, что ID протокола не то же самое, что номер порта.

Третий протокол, используемый IPSec - это IKE или Internet Key Exchange protocol. Как следует из названия, он предназначен для обмена ключами между двумя узлами VPN. Насмотря на то, что генерировать ключи можно вручную, лучшим и более масштабируемым вариантом будет автоматизация этого процесса с помощью IKE. Помните, что ключи должны часто меняться, и вам наверняка не хочется полагаться на свою память, чтобы найти время для совершения этой операции вручную. Главное - не забудьте настроить правило на файрволе для UPD порта с номером 500, т.к. именно этот порт используется IKE.

SA (Security Association), что можно приближённо перевести как "связь или ассоциация безопасности" - это термин IPSec для обозначения соединения. При настроенном VPN, для каждого используемого протокола создаётся одна SA пара (т.е. одна для AH и одна для ESP). SA создаются парами, т.к. каждая SA - это однонаправленное соединение, а данные необходимо передавать в двух направлениях. Полученные SA пары хранятся на каждом узле. Если ваш узел имеет SA, значит VPN туннель был установлен успешно.

Т.к. каждый узел способен устанавливать несколько туннелей с другими узлами, каждый SA имеет уникальный номер, позволяющий определить к какому узлу он относится. Это номер называется SPI (Security Parameter Index) или индекс параметра безопасности.

SA храняться в базе данных c названием, кто бы подумал - SAD (Security Association Database) или БД ассоциаций безопасности. Мы встретимся с ней ещё раз при настройке IPSec VPN.

Каждый узел IPSec также имеет вторую БД - SPD или Security Policy Database (БД политики безопасности). Она содержит настроенную вами политику узла. Большинство VPN решений разрешают создание нескольких политик с комбинациями подходящих алгоритмов для каждого узла, с которым нужно установить соединение.

Какие настройки включает в себя политика?

Симметричные алгоритмы для шифрования/расшифровки данных

Криптографические контрольные суммы для проверки целостности данных

Способ идентификации узла. Самые распространнённые способы - это предустановленные ключи (pre-shared secrets) или RSA сертификаты.

При создании политики, как правило, возможно создание упорядоченного списка алгоритмов и Diffie Hellman групп. В таком случае будет использована первая совпавшая на обоих узлах позиция. Запомните, очень важно, чтобы всё в политике безопасности позволяло добиться этого совпадения. Если за исключением одной части политики всё остальное совпадает, узлы всё равно не смогут установить VPN соединение. При настройе VPN между различными системами уделите время изучению того, какие алгоритмы поддерживаются каждой стороной, чтобы иметь выбор наиболее безопасной политики из возможных.

2.5 PPPoE

PPPoE (от англ. Point-to-point protocol over Ethernet) - это сетевой протокол через Ethernet кадров PPP. Обычно он используется xDSL-сервисами. PPPoE предоставляет дополнительные возможности, такие как шифрование, сжатие, аутентификация.

PPPoE - туннелирующий протокол, позволяющий инкапсулировать (настраивать) IP, либо другие протоколы, наслаивающиеся на PPP, через Ethernet-соединения, однако с программными возможностями соединений PPP. Поэтому этот протокол используют для виртуальных «звонков» на соседние Ethernet-машины, а также для установки соединения «точка-точка», использующегося для транспортировки IP-пакетов, которое работает с возможностями PPP.

Благодаря этому традиционное PPP-ориентированное программное обеспечение можно применять для настройки соединений, которые будут использовать пакетно-ориентированную сеть, а не последовательный канал, для организации классического соединения паролем и логином для Интернет-соединений. Помимо этого, по другую сторону соединения IP-адрес назначается только тогда, когда открыто PPPoE соединение, что делает возможным динамическое переиспользование IP адресов.

PPPoE функционирует так: есть Ethernet-среда, то есть соединение нескольких сетевых карт, адресованных MAC-адресами. В заголовках Ethernet-кадров содержится адрес получателя кадра, отправителя кадра и тип самого кадра. Одну из этих карт слушает PPPoE сервер. PPPoE сервер должен ответить на широковещательный Ethernet-кадр, посылаемый клиентом. В свою очередь PPPoE сервер посылает ответ клиенту. Если в сети содержится несколько PPPoE серверов, то ответ посылает каждый из них. И тогда уже клиенту нужно выбрать подходящий сервер и послать ему запрос на соединение. Затем уже сервер посылает подтверждение клиенту, обладающее уникальным идентификатором сессии, и все дальнейшие кадры в сессии будут обладать этим идентификатором. То есть между клиентом и сервером создается виртуальный канал, идентифицируемый идентификатором MAC-адресaми сервера и клиента, и сессии. После чего в данном канале поднимается PPP соединение, и IP-трафик упаковывается в PPP пакеты.

PPPoE -это PPP over Ethernet - протокол, который позволяет передавать PPP-фреймы прямо через Ethernet. Главные преимущества PPPoE по сравнению с традиционным IP over Ethernet заключаются в том, что для соединения по локальной сети требуется наличие на шлюзе учетной записи. Подобная организация локальной сети позволяет упростить контроль и настройку биллинга.

Протокол PPPoE является полным аналогом dialup-соединения, отличаясь лишь скоростью - до 100 мбит/с, и средой передачи - Ethernet. В сети Ethernet используется технология использования стека PPP, которую нельзя назвать новой, так как она уже достаточно распространена.

PPPoE работает по принципу установления поверх общей среды Ethernet, соединения «точка-точка», следовательно, процесс функционирования PPPoE можно разделить на две стадии. На первой стадии два устройства сообщают друг другу свои адреса и устанавливают начальное соединение, на второй стадии запускается сессия PPP.

Преимущества и недостатки этого протокола:

1)Удобство и простота в обращении.

2) Многоплатформенность.

3) Простота и удобство в обращении.

4) Минимальная загрузка канала в сравнении с остальными другими системами авторизации.

5) По сравнению с VPN не нужны затраты на шлифование.

PPPoE (Point-to-Point Protocol over Ethernet) - это протокол соединения через Ethernet. Для провайдеров основным преимуществом PPPoE является то, что они могут без проблем обходиться ограниченным числом IP-адресов, просто назначая их только тем пользователям, которые подключены в данный момент. Также, с помощью PPPoE Интернет-провайдеры могут гибко управлять контингентом службой заказчиков, а для индивидуальных пользователей будет труднее разместить FTP- и Web- узлы на своих серверах.

В сравнении с широкополосными службами других типов, PPPoE обладает гораздо более высокой безопасностью, что, несомненно, будет оценено потребителями. Ведь хакерам будет труднее определять и взламывать компьютеры с временными IP-адресами. Неудобства пользователю могут доставить частые сообщения об ошибках, которые выдаются при сбое сервера аутентификации со стороны провайдера. Таким образом, PPPoE не может серьезно повлиять на скорость соединения. В сущности, при помощи этого протокола создается туннельное соединение между провайдером и абонентом.

Авторизовать PPPoE нужно через CHAP, а значит, пароли всегда передаются в зашифрованном виде, и система фиксирует время подключения абонента к сети, что дает простую возможность проверки при возникновении споров относительно трафика.

2.6 L2F

Протокол L2F был разработан компанией Cisco Systems для построения защищенных виртуальных сетей на канальном уровне модели OSI как альтернатива протоколу РРТР. По сравнению с РРТР протокол L2F отличается поддержкой разных сетевых протоколов и более удобен в использовании для провайдеров Internet. Для организации связи компьютера удаленного пользователя с сервером провайдера протокол L2F допускает применение различных протоколов удаленного доступа РРР, SLIP и др. Открытая сеть, используемая для переноса пакетов через туннель, может функционировать на основе как протокола IP, так и других протоколов, в частности, Х.25.

Протокол L2F обладает следующими свойствами:

1) гибкостью процедур аутентификации, предполагающей отсутствие жесткой привязки к конкретным протоколам проверки подлинности;

2) прозрачностью для конечных систем - рабочим станциям локальной сети и удаленной системе не требуется специального программного обеспечения для использования защитного сервиса;

3) прозрачностью для посредников - авторизация удаленных пользователей выполняется аналогично случаю непосредственного подключения пользователей к серверу удаленного доступа локальной сети;

4) полнотой аудита - регистрация событий доступа к серверу локальной сети осуществляется не только сервером удаленного доступа этой сети, но и сервером провайдера.

В соответствии со спецификацией протокола L2F в образовании защищенного туннеля участвуют протоколы нескольких типов:

1) исходный инкапсулируемый протокол - это протокол, на основе которого функционирует локальная сеть, например, IP, IPX или NetBEUI;

2) протокол-«пассажир», в который инкапсулируется исходный протокол и который сам должен быть инкапсулирован при удаленном доступе через открытую сеть; рекомендуется протокол РРР;

3) управляющий (инкапсулирующий) протокол, который используется для создания, поддержания и разрыва туннеля (в качестве такого протокола применяется L2F);

4) протокол провайдера - используется для переноса инкапсулируемых протоколов (исходного протокола и протокола-«пассажира»); самым распространенным протоколом провайдера является IP.

Следует отметить, что при использовании технологии L2F сервер удаленного доступа провайдера использует аутентификацию пользователя только для того, чтобы определить необходимость создания виртуального канала и найти адрес сервера удаленного доступа требуемой локальной сети. Окончательная проверка подлинности выполняется сервером удаленного доступа локальной сети после того, как с ним связывается сервер провайдера.

Недостатки протокола L2F:

1) в нем не предусмотрено создание для текущей версии протокола IP криптозащищенного туннеля между конечными точками информационного взаимодействия;

2) виртуальный защищенный канал может быть создан только между сервером удаленного доступа провайдера и пограничным маршрутизатором локальной сети, при этом участок между компьютером удаленного пользователя и сервером провайдера остается открытым.

В настоящее время протокол L2F фактически поглощен протоколом L2TP, имеющим статус проекта стандарта Internet.

2.7 BGP

BGP (Border Gateway Protocol) - это основной протокол динамической маршрутизации, который используется в Интернете.

Маршрутизаторы, использующие протокол BGP, обмениваются информацией о доступности сетей. Вместе с информацией о сетях передаются различные атрибуты этих сетей, с помощью которых BGP выбирает лучший маршрут и настраиваются политики маршрутизации.

Один из основных атрибутов, который передается с информацией о маршруте - это список автономных систем, через которые прошла эта информация. Эта информация позволяет BGP определять где находится сеть относительно автономных систем, исключать петли маршрутизации, а также может быть использована при настройке политик.

Маршрутизация осуществляется пошагово от одной автономной системы к другой. Все политики BGP настраиваются, в основном, по отношению к внешним/соседним автономным системам. То есть, описываются правила взаимодействия с ними.

Так как BGP оперирует большими объемами данных (текущий размер таблицы для IPv4 более 450 тысяч маршрутов), то принципы его настройки и работы отличаются от внутренних протоколов динамической маршрутизации (IGP).

BGP выбирает лучшие маршруты не на основании технических характеристик пути (пропускной способности, задержки и т.п.), а на основании политик. В локальных сетях наибольшее значение имеет скорость сходимости сети, время реагирования на изменения. И маршрутизаторы, которые используют внутренние протоколы динамической маршрутизации, при выборе маршрута, как правило, сравнивают какие-то технические характеристики пути, например, пропускную способность линков.

При выборе между каналами двух провайдеров, зачастую имеет значение не то, у какого канала лучше технические характеристики, а какие-то внутренние правила компании. Например, использование какого канала обходится компании дешевле. Поэтому в BGP выбор лучшего маршрута осуществляется на основании политик, которые настраиваются с использованием фильтров, анонсирования маршрутов, и изменения атрибутов.

Как и другие протоколы динамической маршрутизации, BGP может передавать трафик только на основании IP-адреса получателя. Это значит, что с помощью BGP нет возможности настроить правила маршрутизации, в которых будет учитываться, например, то, из какой сети был отправлен пакет или данные какого приложения передаются. Если принимать решение о том как должен маршрутизироваться пакет, необходимо по каким-то дополнительным критериям, кроме адреса получателя, необходимо использовать механизм policy-based routing (PBR).

3. Настройка и создание GRE туннеля

3.1 Создание схемы и базовая настройка

Приступим к настройке GRE туннеля.

Первое, что необходимо сделать - создать схему в программе Cisco Packet Tracer. Расставим оборудование необходимое для настройки GRE туннеля (рисунок 4). Для этого выберем в программе следующие элементы: PC-PT - 2, маршрутизаторы 2811 - 3.

Рисунок 4 - Схема оборудования

Далее, произведём базовую настройку маршрутизаторов, назначим IP-адреса на интерфейсы маршрутизатора. Все команды описаны в листинге 1.

Листинг 1 - базовая настройка маршрутизатора

enable

erase startup-config

reload

Would you like to enter the initial configuration dialog? [yes/no]: no

enable

configure terminal

hostname R1

no ip domain-lookup

enable secret class

banner motd!

line console 0

password cisco

login

exit

line vty 0 4

password cisco

login

end

show running-config

copy running-config startup-config

configure terminal

interface fastethernet 0/0

ip address 192.168.0.1 255.255.255.128

des Subnet A

no shutdown

interface fastethernet 0/1

ip address 192.168.0.129 255.255.255.192

des Subnet B

no shutdown

interface serial

ip address 192.168.0.193 255.255.255.252

R1des Link to R2

clock rate 64000

no shutdown

end

show running-config

copy running-config startup-config

3.2 Создание GRE туннеля

Начнем создание GRE туннеля. Начнем с настройки R1(рисунок 5).

Рисунок 5 - Настройка R1

Настройка этого маршрутизатора начинается с создания виртуального интерфейса "Tunnel" с порядковым номером 1. Далее, даём ему назначения откуда и куда будет идти туннель. Чтобы GRE туннель работал, даём адрес в туннеле и прописываем маршрут до локальной сети маршрутизатора-назначения через адрес маршрутизатора-назначения в туннеле.

Листинг 2 - Команды для R1

enable

conf t

interface Tunnel1

tunnel source ethernet 1/0

tunnel destination 192.168.1.1

ip address 10.0.0.1 255.255.255.0

exit

ip route 172.16.1.0 255.255.255.0 10.0.0.2

Настраиваем второй маршрутизатор аналогично первому (рисунок 6).

Рисунок 6 - Настройка R2

Листинг 3 - Команды для R2

enable

conf t

interface Tunnel1

tunnel source ethernet 1/0

tunnel destination 192.168.0.1

ip address 10.0.0.2 255.255.255.0

exit

ip route 172.16.0.0 255.255.255.0 10.0.0.1

Далее, проверим отправку всех пакетов с помощью команды: "ping 172.16.1.2" (рисунок 7).

Рисунок 7 - Проверка

Как мы видим из рис. 7, все пакеты работают, GRE туннель построен.

4. Настройка GRE over IPSec

Для начала настройки GRE over IPSec нужно создать схему в Cisco Packet Tracer (рисунок 8).

Рисунок 8 - Схема

Далее приступаем к настройке роутеров по шагам. На обоих роутерах выполняем идентичные команды (рисунок 9).

1. Определение наборов трансформаций

Листинг 4 - 1 шаг

crypto ipsec transform-set MOSTSECURE esp-aes 256 esp-sha-hmac

2. Определение IPSec Crypto Map

Листинг 5 - 2 шаг

access-list 100 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255 !

crypto map PT-IPSEC 1000 ipsec-isakmp description Packet Tracer IPSEC Test Crypto Map set peer 172.16.2.1 set pfs group5 set security-association lifetime seconds 120 set transform-set MOSTSECURE match address 100

3. Определение политики ISAKMP защиты ассоциации безопасности

Листинг 6 - 3 шаг

Crypto isakmp policy 100 encr aes 256 authentication pre-share group 5 lifetime 60

4. Определение Ключа аутентификации

Листинг 7 - 4 шаг

crypto isakmp key samekey address 172.16.2.1

5. Привязка IPSec Crypto Map к исходящему интерфейсу

Листинг 8 - 5 шаг

Interface Serial0/0/0 ip address 172.16.1.1 255.255.255.252 crypto map PT-IPSEC

Рисунок 9 - Команды на роутере

Заключение

В данноой курсовой работе былина рассмотренный вопросный настройки GRE протокола. Подробность описанный протоколы: PPTP, L2TP, mGRE, IPSec, PPPoE, L2F, BGP. Рассмотренный примерный использования протоколов PPTP, L2TP, mGRE, IPSec, PPPoE, L2F, BGP.

В общежм случаем, GRE туннельть, намного легче настроить чем VPN туннель, но при этом у него нет шифрования.

Но не смотря на достоинства, такой протокол не лишен недостатков, иногда вытекающих из преимуществ. Главный из них - незащищенность данных, которая может привести к их перехвату или краже.

В настоящее времянка ведется интенсивная разрсаботка новых и продолжается исслмедование известных протоколовет туннелирования сетевых пакетов, чтоб объясняется иох высокой эффективностью и праклтической важностью.

туннель протокол маршрутизация

Список испопльзованных источниковед

1 Настройка gre протокола

2 Типы VPN соединений

3 Построение корпоративной сети с применением коммутационного оборудования и настройкой безопасности: Учебвное пособие / Платунова, С. - М.: Форуфм: ИТМО,2012. -96 с.

4 Олифер, В. Олифер Н. Компьютерные сети. Принципы, технологии, протоколы. 4-е изыди. - М.: Издательство "Питер". - 2010. - 903 с.

5 Сергеев А. Основы локальных компьютерных сетей М.: Лань 2016. - 184 с.

Размещено на Allbest.ru

...