июль    2024

Пн	Вт	Ср	Чт	Пт	Сб	Вс
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30	31

показать все 

11.07.2024

Конференция «Практическая польза региональных информационных систем в сфере здравоохранения» собрала организаторов здравоохранения и экспертов из 44 регионов страны

Читать далее 

02.07.2024

Ай-Форс принимает участие в пилотном проекте по тестированию технологии контроля симптомов при болезни Паркинсона

Читать далее 

21.06.2024

RAMAX Group расскажет об инструментах повышения операционной эффективности на «RPA Connect: Магия притяжения»

Читать далее 

21.06.2024

Коллаборация ARZip с DLP-системой InfoWatch Traffic Monitor позволяет компаниям повысить свою защищенность

Читать далее 

показать все 

27.06.2024

Национальный интерес в ИТ

Читать далее 

13.06.2024

Взгляд в перспективу: что будет двигать отрасль информационной безопасности

Читать далее 

07.06.2024

Open Source в бизнесе

Читать далее 

19.05.2024

«Лишние люди» в бизнесе

Читать далее 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

Читать далее 

05.04.2024

Мотивируй, не то проиграешь!

Читать далее 

22.03.2024

В 2024 году в России и мире вырастут объемы применения AR/VR 

Читать далее 

показать все 

Главная / Архив номеров / 2010 / Выпуск №1 (1) / Virtual Private Network. Иное построение географически распределенных сетей

Рубрика: Технологии

Дополнительные материалы

 Владимир Нефёдов, ведущий специалист отдела сетевых технологий компании ООО «Группа Ренессанс Страхование»

Virtual Private Network
Иное построение географически распределенных сетей

Прочитал статью «Virtual Private Network. Построение географически распределенных сетей» (№5-2010, журнал «Системный администратор») К. Кондакова, которая меня заинтересовала. Захотелось поделиться с коллегами своим опытом по организации связей между удаленными офисами посредством создания виртуальных частных сетей (VPN).

В статье [1] описана технология создания VPN-каналов с типом подключения точка-точка. Данный тип подключения обладает, на мой взгляд, некоторыми недостатками, а именно требует выделения провайдером постоянных IP-адресов, а при количестве туннелей более 20 администрирование становится затруднительным, т.к. надо менять конфигурацию оборудования и на центральной точке.

Я предлагаю альтернативу этой технологии под названием Cisco Easy VPN (простой VPN), которая представляет собой практически описанный в статье Константина Кондакова способ подключения пользователей через Cisco VPN Сlient, только реализованный на маршрутизаторах и межсетевых экранах ASA и PIX компании Cisco Systems и позволяющий подключать не только конкретного пользователя, но и целые сети.

Суть технологии основана на том, что есть центральный сервер EASY VPN, им могут быть как маршрутизаторы, так и межсетевые экраны, а также и концентратор 3000, и клиенты EASY VPN, которые подключаются к серверам и образуют шифрованный канал связи. При этом основные настройки сервера делаются только один раз, и далее к нему подключаются периферийные устройства. При этом периферийным устройствам не требуется выделенных провайдером постоянных IP-адресов.

Описание схемы и принцип работы

Рассмотрим гипотетическую схему распределенной корпоративной сети, представленную на рис. 1.

Рисунок 1. Схема переключения

В данной схеме мы имеем центральный офис компании в Магадане и подчиненные офисы в Лос-Анджелесе и Усть-Каменогорске, и банкомат, установленный в Твери. Сервером EASY VPN в Магадане является межсетевой экран компании Cisco Systems ASA 5510.

В данном примерев роли  клиента EASY VPN выступают маршрутизаторы Cisco 871, хотя, как написано выше, клиентами могут являться межсетевые экраны компании Cisco Systems и рабочая станция с установленным ПО Cisco VPN Client.

Для примера возьмем приблизительно такую же внутреннюю адресацию, как и в статье Константина Кондакова:

• Магадан (головной офис – внутренняя сеть 192.168.5.0/24 и 192.168.10.0/24, внешний адрес 11.11.11.11).
• Офис в Лос-Анджелесе (внутренняя сеть 10.22.1.0/24, внешний адрес 22.22.22.22).
• Офис в Усть-Каменогорске (внутренняя сеть 10.31.1.0/24, внешний адрес получают от провайдера по DHCP).
• Офис в Твери (внутренняя сеть 10.13.1.0/24, внешний адрес получают от провайдера по DHCP).

Все офисы подключены через Интернет по VPN-туннелю к центральному офису в Магадане и терминируются на брандмауэр ASA 5510. Так как основные принципы подключения и авторизации пользователей Cisco VPN Client описаны в вышеприведенной статье, то остановимся более подробно на конфигурации сервера EASY VPN (Cisco ASA 5510) и клиентских устройств (в данном случае маршрутизаторов Cisco 871).

Итак, начнем с создания сервера на ASA 5510, к которому будут подключаться клиенты.

Создадим object-group и добавим туда клиентов:

object-group network nog-vpn
 description For easy vpn client and mobile users
 network-object 10.162.253.0 255.255.255.0
 network-object 10.162.3.0 255.255.255.0
 network-object 10.162.5.0 255.255.255.0

Исключим группу nog-vpn из NAT:

access-list inside_nat0_outbound extended permit ip any object-group nog-vpn nat (inside) 0 access-list inside_nat0_outbound

Создадим пользователя:

username u-easy-vpn password 5555555 encrypted
username u-easy-vpn attributes
! Увеличим количество одновременных подключений
vpn-simultaneous-logins 100
vpn-idle-timeout none
password-storage enable

Создадим параметры, согласно которым будет работать туннель:

crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto dynamic-map outside_dyn_map 20 set pfs
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5
crypto dynamic-map outside_dyn_map 20 set reverse-route
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
crypto isakmp enable outside

crypto isakmp policy 20
 authentication pre-share
 encryption 3des
 hash md5
 group 2
 lifetime 86400

Не будем использовать группу DefaultRAGroup, а создадим новую совместно с политиками для данной группы:

group-policy gp-easy-vpn internal
group-policy gp-easy-vpn attributes
 vpn-tunnel-protocol IPSec
 default-domain value bank.com
 ! В отличие от стандартной группы разрешим использование Network Extension
 nem enable
tunnel-group tg-easy-vpn type remote-access
tunnel-group tg-easy-vpn general-attributes
 default-group-policy gp-easy-vpn
 tunnel-group tg-easy-vpn ipsec-attributes
 pre-shared-key 4444444

Произведем настройку клиентов EASY VPN на маршрутизаторе Cisco 871, для чего:

Создадим клиента EASY VPN:

crypto ipsec client ezvpn ezvpn-magadan
 connect auto
 group tg-easy-vpn key 4444444
 mode network-extension
 peer 11.11.11.11
 ! Разрешим использование NAT
 nat allow
 username u-easy-vpn password 5555555
 xauth userid mode local

Произведем настройку входного и выходного интерфейсов на примере Усть-Каменогорска:

interface FastEthernet4
 bandwidth 2000
 ! Адрес от провайдера получаем по DHCP
 ip address dhcp
 ip nat outside
 no ip route-cache cef
 duplex auto
 speed auto
 crypto ipsec client ezvpn ezvpn-magadan output

interface Vlan1
 ip address 10.161.3.254 255.255.255.0
 crypto ipsec client ezvpn ezvpn-smr inside

! Создадим маршрут по умолчанию
ip route 0.0.0.0 0.0.0.0 dhcp

На этом основные настройки закончены. Более полную конфигурацию можно скачать на сайте журнала по ссылке [2].

***

Данный тип подключения требует значительно меньше настроечных работ, не зависит от адресации провайдера. Одним из небольших недостатков данного подключения является то, что оно всегда инициируется клиентом.

1. http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080809222.shtml.
2. http://www.samag.ru/source/config_VPN.zip.

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи