Корпоративные визуальные частные сети на базе CISCO

Виртуальная частная сеть – технологии, обеспечивающие несколько сетевых соединений поверх другой сети. Использование VPN для объединения в защищённую сеть распределённых филиалов одной организации. Реализация технологии VPN на базе маршрутизаторов Cisco.

Рубрика Коммуникации, связь, цифровые приборы и радиоэлектроника
Вид статья
Язык русский
Дата добавления 02.02.2019
Размер файла 143,7 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.Allbest.Ru/

Размещено на http://www.Allbest.Ru/

Размещено на http://www.Allbest.Ru/

ТарГУ им. М.Х. Дулати

Корпоративные визуальные частные сети на базе CISCO

Жидекулова Г.Е.

Сарманкулова А.

г. Тараз

VPN (Virtual Private Network - виртуальная частная сеть) - обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети. Несмотря на то, что коммуникации осуществляются по сетям с меньшим неизвестным уровнем доверия (например, по публичным сетям), уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии. Можно рассматривать несколько технологий построения VPN-туннеля: IPSec VPN Site-to-Site, Easy-VPN и DMVPN на базе маршрутизаторов Cisco.

Первый способ Site-to-Site или Intranet VPN представлен на рисунке 1, используется для объединения в защищённую сеть нескольких распределённых филиалов одной организации, обменивающихся данными по открытым каналам связи. В основе решения лежит сеть VPN с предварительно настроенными в каждой точке входа в сеть туннелями для передачи защищаемого трафика. Таким образом, все протоколы доступа и параметры взаимодействия конфигурируются отдельно для каждого устройства доступа и каждой удаленной подсети.

Рис. 1. VPN Site-to-Site

В данном примере топология представляет собой звезду, маршрутизатор А расположен в центральном офисе компании, В и С - в дополнительных. Настройку RouterА, можно организовать политику ISAKMP (Internet Security Association and Key Management Protocol) с приоритетом 1 (приоритет от 1 до 10000, 1 является самым высоким) и входим в режим конфигурации ISAKMP. Здесь устанавливаем общие параметры для установки туннеля. Указываем алгоритмы хэш-функции и шифрования. Методом аутентификации, определяем схему обмена ключами Диффи-Хеллмана [1] (group 2 - 1024 бита, Cisco IOS (Interwork Operating System) также поддерживает 1 и 5 группы) для протокола IKE (Internet Key Exchange). IP-адреса и крипто-ключи должны совпадать с соответствующими на удаленных маршрутизаторах. При смене ключа необходимо очистить крипто-сессию командой: clear crypto session.

Далее определяется список выполняемых операций (transform - изменений) для установки подлинности данных, конфиденциальности и сжатия. В нашем примере протокол шифрования сетевого трафика ESP (Encapsulation Security Payload) использует DES (Data Encryption Standard) и MD5 (Message Digest 5).

Создаем расширенные списки контроля доступа acl (Access Control List) 102 и 103. В них указываем подсети, трафик между которыми будем шифровать.

access-list 102 permit ip 192.168.1.0 0.0.0.255 10.10.2.0 0.0.0.255

access-list 103 permit ip 192.168.1.0 0.0.0.255 10.10.3.0 0.0.0.255

Создаем крипто-карты для удаленных VPN-маршрутизаторов B и C. Указываем соответствующие IP-адреса, определенный ранее transform-set и списки доступа. Здесь также можно задействовать классификацию качества обслуживания QoS (Quality of Service), до того как пакет попадет в туннель (crypto map rtp 2 ipsec-isakmp, set peer, 172.16.2.1, set transform-set rtpset, match address 102, crypto map rtp 3 ipsec-isakmp, set peer, 172.16.3.1, set transform-set rtpset, match address 103, exit). Теперь назначаем внешнему интерфейсу созданную крипто-карту rtp. И указываем максимальный размер сегмента MSS (Maximum Segment Size) /2/.

Наиболее распространенная технология, основанная на открытых стандартах, поддерживается наибольшим числом производителей оборудования и программного обеспечения. Идеальна для построения гетерогенных VPN-сетей.

Однако отсутствует возможность динамической маршрутизации между узлами сети (поддержка только IP-трафика) и установки соединения между отдельными узлами компании без участия центрального маршрутизатора. Отсутствует механизм автоматического переключения на резервный канал. Нет возможности назначить отдельную QoS-политику для каждого туннеля.

В основе решения стоит размещение всех параметров взаимодействия и политик безопасности на центральном сервере сети VPN (Easy VPN Server), к которому подключаются удаленные устройства VPN - аппаратные (Easy VPN Remote) и программные (VPN Client) клиенты. Перед установкой зашифрованного соединения клиент сети Easy VPN проходит процедуру проверки подлинности с последующей загрузкой политик безопасности с сервера.

В случае использования VPN Client на удаленный компьютер устанавливается клиентское программное обеспечение Cisco VPN Client, на текущий момент доступна версия 5.x для Windows 2000/XP/Vista.

На рисунке 2 представлена логическая схема подключения, при которой удаленный компьютер становится полноценным участником корпоративной сети.

Трафик от VPN Client, адресованный сети 192.168.1.x, направляется через туннель, а остальное движение может быть настроено по трем вариантам:

- через маршрутизатор А;

- напрямую через линк клиента;

- или вообще запрещен на время сеанса работы.

Рис. 2. EasyVPN

Авторизация клиента может быть настроена двумя способами: предопределенный ключ Pre-Shared Keys (PSK) - набор символов, далее рассматривается в примере или по сертификату X.509: Public Key Infrastructure (PKI). виртуальный частный сетевой маршрутизатор сisco

При реализации с небольшим числом дополнительных офисов можно выбрать PSK, однако когда их число растет, управлять индивидуальными PSK становится проблематично и лучше выбрать PKI.

Настройка VPN Server (маршрутизатор А) для подключения EasyVPN Client.

Задействуем модель аутентификации, авторизации и учета ААА (Authentication, Authorization, Accounting). Создаем политику с приоритетом 1, которая будет использоваться при подключении клиентов, и входим в режим конфигурации ISAKMP. Определяем группу Diffie-Hellman, указываем алгоритмы хэш-функции и шифрования, а также пул динамического назначения IP-адресов. Создаем групповую политику IKE, содержащую атрибуты для удаленных клиентов. Указываем имя группы (логин), пароль, первичный сервер имен, домен, пул, маску сети, дополнительно можно указать WINS-сервер. А также разрешаем клиенту работу в его локальной сети на время работы VPN-туннеля. Далее определяется список выполняемых операций (transform - изменений) для установки подлинности данных, конфиденциальности и сжатия.

Создаем динамическую криптокарту rtp с порядковым номером 100, указываем transform-set и RRI (Reverse Route Injection) чтобы вещать маршруты на удаленные сети.Применяем метод поиска ключей (IKE-запросы) для установления подлинности и разрешений группы. Настраиваем маршрутизатор для ответов на запросы удаленных клиентов.

Создаем профиль криптокарты:crypto map rtp 100 ipsec-isakmp dynamic rtp.Ведение журнала подключений:crypto logging session. Создаем пул адресов для группы VPN-клиентов:ip local pool easy-vpn-group-dynpool 10.10.1.2 10.10.1.5.

Список доступа для внешнего сетевого интерфейса. Открываем порты для VPN-клиентов.

Дополнительные протоколы выбираем, исходя из потребностей. Конфигурирование сетевых интерфейсов: назначаем криптокарту (включить VPN-сервер), список доступа, входящий и исходящий интерфейсы для процесса трансляции сетевых адресов NAT.

Программный VPN-клиент доступен для загрузки на веб-сайте компании Cisco Systems по адресу /4/. После установки в операционной системе автоматически будет создан виртуальный сетевой интерфейс, MTU установлено значение 1300. На рисунке 3 представлен интерфейс создания нового подключения.

Рис. 3. Настройки подключения

После успешного соединения с VPN-сервером в трее появится «замок» , значить соединение установлено.

Сеть может быть построена как с использованием одного, так и нескольких центральных узлов для обеспечения резервирования устройств и каналов связи. Пересылка информации об IP-сетях осуществляется по зашифрованным туннелям между подразделениями компании при помощи протоколов динамической маршрутизации. Добавление нового узла в сеть VPN не требует изменений в конфигурации как соседних узлов сети VPN, так и центрального узла сети. Отдельные узлы смогут устанавливать соединения VPN между собой без участия центрального узла. Возможна реализация политик QoS с различным приоритетом для разных узлов сети.

Рассмотренные способы настройки VPN применимы и вполне достаточны для большого числа современных компаний, однако в данной статье рассмотрены далеко не все технологии. Также на базе маршрутизаторов Cisco Systems могут быть реализованы такие технологии, как GRE VPN, MPLS VPN, VTI VPN и Web VPN, обладающие дополнительными преимуществами и недостатками, но это уже темы для следующих статей. VPN - логическая сеть, за счёт шифрования создаются закрытые каналы, позволяющие объединить территориально разрозненные подразделения организации, надомных и мобильных работников в единую сеть. Учитывая современный ритм бизнеса, VPN является незаменимой технологией.

Литература

1. Алгоритм Диффи-Хеллмана

2. Resolve IP Fragmentation, MTU, MSS

3. Site-to-Site Tunnel Between IOS Routers

4. Software VPN Client

Размещено на allbest.ru

...

Подобные документы

  • Анализ подходов к построению беспроводных корпоративных сетей связи. Разработка проекта беспроводной сети для управляющей компании "ЭКС" на базе программных и аппаратных решений Cisco. Расчет дополнительных возможностей для блока "С" ТРК "Семья".

    дипломная работа [5,5 M], добавлен 05.07.2012

  • Основные понятия IP телефонии, строение сетей IP телефонии. Структура сети АГУ. Решения Cisco Systems для IP-телефонии. Маршрутизаторы Cisco Systems. Коммутатор серии Catalyst 2950. IP телефон. Настройка VPN сети. Способы и средства защиты информации.

    дипломная работа [1,1 M], добавлен 10.09.2008

  • Широкополосный доступ в Интернет. Технологии мультисервисных сетей. Общие принципы построения домовой сети Ethernet. Моделирование сети в пакете Cisco Packet Tracer. Идентификация пользователя по mac-адресу на уровне доступа, безопасность коммутаторов.

    дипломная работа [4,5 M], добавлен 26.02.2013

  • Технологии магистрального уровня, городской и локальной сети. Подключение удаленных абонентов. Трансивер и коммутатор D-Link, маршрутизатор Cisco 7606, оптические сплиттеры. Главные особенности работы сети на станции Уяр, Саянская, Коростылево, Тайшет.

    курсовая работа [2,3 M], добавлен 05.12.2012

  • Создание сегментированной IP-сети, состоящей из маршрутизаторов, коммутаторов и компьютеров. Проверка работоспособности сети с заданными диапазонами. Получение практических навыков по настройке статической маршрутизации и работе через протокол telnet.

    контрольная работа [696,1 K], добавлен 15.12.2011

  • Преимущества технологии WiMAX. Описание услуг, предоставляемых беспроводной сетью на ее базе. Особенности используемого оборудования на существующей сети и его физические параметры, принципы работы и условия эксплуатации. Архитектура сетей WiMAX.

    реферат [163,9 K], добавлен 14.01.2011

  • Объединение в локальную сеть по технологии FastEthernet компьютеров, которые находятся в квартирах трех домов. Технологии кодирования, применяемые в SHDSL. Соединение локальной сети с Internet по WAN-технологии. Правила построения сегментов Fast Ethernet.

    курсовая работа [1,4 M], добавлен 08.09.2012

  • Инженерно-техническое обоснование создания сети DWDM на действующей магистральной цифровой сети связи (МЦСС) ОАО "РЖД". Расчет качества передачи цифровых потоков в технологии DWDM. Обоснование выбора волоконно-оптических линий связи. Анализ оборудования.

    дипломная работа [4,1 M], добавлен 26.02.2013

  • Анализ технологий беспроводной связи в городе Алматы. Технология проектирования сети WiMAX. Базовая станция Aperto PacketMax-5000 на объекте ЦА АО "Казахтелеком" (ОПТС-6). Расчет параметров сети и оптимизации пакета. Финансовый план построения сети.

    дипломная работа [3,0 M], добавлен 01.04.2014

  • Разработка схемы построения городской телефонной сети на базе систем передачи синхронной цифровой иерархии. Нумерация абонентских линий. Составление диаграмм распределения нагрузки. Структурный состав абонентов. Выбор оптимальной структуры сети SDH.

    курсовая работа [1,3 M], добавлен 01.12.2014

  • Характеристика существующей сети города Павлодар. Расчет нагрузки от абонентов сети Metro Ethernet, логическая схема включения компонентов решения Cisco Systems. Сопряжение шлюзов выбора услуг с городскими сетями передачи данных, подключение клиентов.

    дипломная работа [6,8 M], добавлен 05.05.2011

  • Эффективные пути развития сетевой инфраструктуры. Внедрение сетевых решений на базе технологий сетей Passive Optical Network. Основные топологии построения оптических систем. Сравнение технологий APON, EPON, GPON. Сущность и виды оптического волокна.

    дипломная работа [3,3 M], добавлен 01.11.2013

  • Характеристика сети, типы модулей сети SDH. Построение мультиплексного плана, определение уровня STM. Расчет длины участка регенерации. Особенности сети SDH-NGN. Схема организации связи в кольце SDH. Модернизация сети SDH на базе технологии SDH-NGN.

    курсовая работа [965,7 K], добавлен 11.12.2012

  • Разработка проекта городской телефонной сети на базе систем передачи синхронной цифровой иерархии для города Ангарск. Расчет интенсивности нагрузки на выходе коммутационного поля. Исследование способов построения сетей. Выбор типа оптического кабеля.

    курсовая работа [3,1 M], добавлен 10.01.2015

  • Расчет допустимой конфигурации домена коллизий для локальной сети. Проектирование горизонтальных и вертикальных линий, магистральная проводка. Разработка плана кабельной системы для связи в сеть всех компьютеров. Выбор местоположения аппаратных комнат.

    контрольная работа [650,8 K], добавлен 26.01.2011

  • Беспроводные локально-вычислительные сети, их топология. Ресурс точки доступа. Проектирование и разработка соединения LAN и WLAN для работы пользователей по WI-FI (802.11g), терминального доступа на основе ПО Citix Metaframe с использованием VPN-сервиса.

    дипломная работа [1,6 M], добавлен 19.02.2013

  • Технологии построения локальных проводных сетей Ethernet и беспроводного сегмента Wi-Fi. Принципы разработки интегрированной сети, возможность соединения станций. Анализ представленного на рынке оборудования и выбор устройств, отвечающих требованиям.

    дипломная работа [6,6 M], добавлен 16.06.2011

  • Принципы построения структурированных кабельных систем. Разработка схемы подключения в пакете Cisco Packet Tracer, обзор стандартов. Построение локальной вычислительной сети административного здания. Современные методы построения и создания сети.

    контрольная работа [300,6 K], добавлен 16.02.2016

  • Анализ состояния существующей сети телекоммуникаций и обоснование необходимости создания интеллектуальной сети в г. Кокшетау. Разработка проекта интеллектуальной сети на базе платформы оборудования Alcatel S12. Эколого-экономическое обоснование проекта.

    дипломная работа [1,3 M], добавлен 30.08.2010

  • Общая архитектура сети NGN. Классификация типов оборудования. Стратегии внедрения технологий. Построение транспортного уровня мультисервисной сети, поглощающего транзитную структуру. Определение числа маршрутизаторов и производительности пакетной сети.

    дипломная работа [487,5 K], добавлен 22.02.2014

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.