Корпоративные визуальные частные сети на базе CISCO

Размещено на http://www.Allbest.Ru/

Размещено на http://www.Allbest.Ru/

Размещено на http://www.Allbest.Ru/

ТарГУ им. М.Х. Дулати

Корпоративные визуальные частные сети на базе CISCO

Жидекулова Г.Е.

Сарманкулова А.

г. Тараз

VPN (Virtual Private Network - виртуальная частная сеть) - обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети. Несмотря на то, что коммуникации осуществляются по сетям с меньшим неизвестным уровнем доверия (например, по публичным сетям), уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии. Можно рассматривать несколько технологий построения VPN-туннеля: IPSec VPN Site-to-Site, Easy-VPN и DMVPN на базе маршрутизаторов Cisco.

Первый способ Site-to-Site или Intranet VPN представлен на рисунке 1, используется для объединения в защищённую сеть нескольких распределённых филиалов одной организации, обменивающихся данными по открытым каналам связи. В основе решения лежит сеть VPN с предварительно настроенными в каждой точке входа в сеть туннелями для передачи защищаемого трафика. Таким образом, все протоколы доступа и параметры взаимодействия конфигурируются отдельно для каждого устройства доступа и каждой удаленной подсети.

Рис. 1. VPN Site-to-Site

В данном примере топология представляет собой звезду, маршрутизатор А расположен в центральном офисе компании, В и С - в дополнительных. Настройку RouterА, можно организовать политику ISAKMP (Internet Security Association and Key Management Protocol) с приоритетом 1 (приоритет от 1 до 10000, 1 является самым высоким) и входим в режим конфигурации ISAKMP. Здесь устанавливаем общие параметры для установки туннеля. Указываем алгоритмы хэш-функции и шифрования. Методом аутентификации, определяем схему обмена ключами Диффи-Хеллмана [1] (group 2 - 1024 бита, Cisco IOS (Interwork Operating System) также поддерживает 1 и 5 группы) для протокола IKE (Internet Key Exchange). IP-адреса и крипто-ключи должны совпадать с соответствующими на удаленных маршрутизаторах. При смене ключа необходимо очистить крипто-сессию командой: clear crypto session.

Далее определяется список выполняемых операций (transform - изменений) для установки подлинности данных, конфиденциальности и сжатия. В нашем примере протокол шифрования сетевого трафика ESP (Encapsulation Security Payload) использует DES (Data Encryption Standard) и MD5 (Message Digest 5).

Создаем расширенные списки контроля доступа acl (Access Control List) 102 и 103. В них указываем подсети, трафик между которыми будем шифровать.

access-list 102 permit ip 192.168.1.0 0.0.0.255 10.10.2.0 0.0.0.255

access-list 103 permit ip 192.168.1.0 0.0.0.255 10.10.3.0 0.0.0.255

Создаем крипто-карты для удаленных VPN-маршрутизаторов B и C. Указываем соответствующие IP-адреса, определенный ранее transform-set и списки доступа. Здесь также можно задействовать классификацию качества обслуживания QoS (Quality of Service), до того как пакет попадет в туннель (crypto map rtp 2 ipsec-isakmp, set peer, 172.16.2.1, set transform-set rtpset, match address 102, crypto map rtp 3 ipsec-isakmp, set peer, 172.16.3.1, set transform-set rtpset, match address 103, exit). Теперь назначаем внешнему интерфейсу созданную крипто-карту rtp. И указываем максимальный размер сегмента MSS (Maximum Segment Size) /2/.

Наиболее распространенная технология, основанная на открытых стандартах, поддерживается наибольшим числом производителей оборудования и программного обеспечения. Идеальна для построения гетерогенных VPN-сетей.

Однако отсутствует возможность динамической маршрутизации между узлами сети (поддержка только IP-трафика) и установки соединения между отдельными узлами компании без участия центрального маршрутизатора. Отсутствует механизм автоматического переключения на резервный канал. Нет возможности назначить отдельную QoS-политику для каждого туннеля.

В основе решения стоит размещение всех параметров взаимодействия и политик безопасности на центральном сервере сети VPN (Easy VPN Server), к которому подключаются удаленные устройства VPN - аппаратные (Easy VPN Remote) и программные (VPN Client) клиенты. Перед установкой зашифрованного соединения клиент сети Easy VPN проходит процедуру проверки подлинности с последующей загрузкой политик безопасности с сервера.

В случае использования VPN Client на удаленный компьютер устанавливается клиентское программное обеспечение Cisco VPN Client, на текущий момент доступна версия 5.x для Windows 2000/XP/Vista.

На рисунке 2 представлена логическая схема подключения, при которой удаленный компьютер становится полноценным участником корпоративной сети.

Трафик от VPN Client, адресованный сети 192.168.1.x, направляется через туннель, а остальное движение может быть настроено по трем вариантам:

- через маршрутизатор А;

- напрямую через линк клиента;

- или вообще запрещен на время сеанса работы.

Рис. 2. EasyVPN

Авторизация клиента может быть настроена двумя способами: предопределенный ключ Pre-Shared Keys (PSK) - набор символов, далее рассматривается в примере или по сертификату X.509: Public Key Infrastructure (PKI). виртуальный частный сетевой маршрутизатор сisco

При реализации с небольшим числом дополнительных офисов можно выбрать PSK, однако когда их число растет, управлять индивидуальными PSK становится проблематично и лучше выбрать PKI.

Настройка VPN Server (маршрутизатор А) для подключения EasyVPN Client.

Задействуем модель аутентификации, авторизации и учета ААА (Authentication, Authorization, Accounting). Создаем политику с приоритетом 1, которая будет использоваться при подключении клиентов, и входим в режим конфигурации ISAKMP. Определяем группу Diffie-Hellman, указываем алгоритмы хэш-функции и шифрования, а также пул динамического назначения IP-адресов. Создаем групповую политику IKE, содержащую атрибуты для удаленных клиентов. Указываем имя группы (логин), пароль, первичный сервер имен, домен, пул, маску сети, дополнительно можно указать WINS-сервер. А также разрешаем клиенту работу в его локальной сети на время работы VPN-туннеля. Далее определяется список выполняемых операций (transform - изменений) для установки подлинности данных, конфиденциальности и сжатия.

Создаем динамическую криптокарту rtp с порядковым номером 100, указываем transform-set и RRI (Reverse Route Injection) чтобы вещать маршруты на удаленные сети.Применяем метод поиска ключей (IKE-запросы) для установления подлинности и разрешений группы. Настраиваем маршрутизатор для ответов на запросы удаленных клиентов.

Создаем профиль криптокарты:crypto map rtp 100 ipsec-isakmp dynamic rtp.Ведение журнала подключений:crypto logging session. Создаем пул адресов для группы VPN-клиентов:ip local pool easy-vpn-group-dynpool 10.10.1.2 10.10.1.5.

Список доступа для внешнего сетевого интерфейса. Открываем порты для VPN-клиентов.

Дополнительные протоколы выбираем, исходя из потребностей. Конфигурирование сетевых интерфейсов: назначаем криптокарту (включить VPN-сервер), список доступа, входящий и исходящий интерфейсы для процесса трансляции сетевых адресов NAT.

Программный VPN-клиент доступен для загрузки на веб-сайте компании Cisco Systems по адресу /4/. После установки в операционной системе автоматически будет создан виртуальный сетевой интерфейс, MTU установлено значение 1300. На рисунке 3 представлен интерфейс создания нового подключения.

Рис. 3. Настройки подключения

После успешного соединения с VPN-сервером в трее появится «замок» , значить соединение установлено.

Сеть может быть построена как с использованием одного, так и нескольких центральных узлов для обеспечения резервирования устройств и каналов связи. Пересылка информации об IP-сетях осуществляется по зашифрованным туннелям между подразделениями компании при помощи протоколов динамической маршрутизации. Добавление нового узла в сеть VPN не требует изменений в конфигурации как соседних узлов сети VPN, так и центрального узла сети. Отдельные узлы смогут устанавливать соединения VPN между собой без участия центрального узла. Возможна реализация политик QoS с различным приоритетом для разных узлов сети.

Рассмотренные способы настройки VPN применимы и вполне достаточны для большого числа современных компаний, однако в данной статье рассмотрены далеко не все технологии. Также на базе маршрутизаторов Cisco Systems могут быть реализованы такие технологии, как GRE VPN, MPLS VPN, VTI VPN и Web VPN, обладающие дополнительными преимуществами и недостатками, но это уже темы для следующих статей. VPN - логическая сеть, за счёт шифрования создаются закрытые каналы, позволяющие объединить территориально разрозненные подразделения организации, надомных и мобильных работников в единую сеть. Учитывая современный ритм бизнеса, VPN является незаменимой технологией.

Литература

1. Алгоритм Диффи-Хеллмана

2. Resolve IP Fragmentation, MTU, MSS

3. Site-to-Site Tunnel Between IOS Routers

4. Software VPN Client

Размещено на allbest.ru