Virtual Private Network. Иное построение географически распределенных сетей::БИТ 01.2010

Поиск по сайту

bit.samag.ru

Web

Рассылка Subscribe.ru

подписаться письмом

Вход в систему


Запомнить меня
Регистрация Забыли пароль?

О журнале

Ваше мнение

Статьи

Общие тенденции и тренды

Архив

Мероприятия

Календарь мероприятий

декабрь

2024

показать все

Новости партнеров

27.12.2024

РАЭК определила лидера среди классифайдов по числу объявлений о долгосрочной аренде

26.12.2024

За экспертизой в инфобезе — к «Газинформсервису»

26.12.2024

Компания «ИнфоТеКС» объявляет о выпуске сертифицированной версии ViPNet xFirewall 5.6.2

19.12.2024

«ГенИИ» завершили год разговором о главной технологии FinTech

17.12.2024

РДТЕХ внедряет новый премиальный стандарт сервисной поддержки

показать все

Статьи

12.12.2024

Что следует учитывать ИТ-директорам, прежде чем претендовать на должность генерального директора?

11.12.2024

Сетевая инфраструктура, сетевые технологии: что лучше – самостоятельная поддержка или внешнее обслуживание?

22.11.2024

Тандем технологий – драйвер инноваций.

21.11.2024

ИИ: маршрут не построен, но уже проектируется

18.11.2024

Глеб Шкрябин: «Надежные и масштабируемые системы — основа стабильной работы бизнеса в условиях больших нагрузок»

14.10.2024

Елена Ситдикова: «На разработчиках программного обеспечения для транспорта лежит большая ответственность перед пассажирами»

13.06.2024

Взгляд в перспективу: что будет двигать отрасль информационной безопасности

18.04.2024

5 способов повысить безопасность электронной подписи

18.04.2024

Как искусственный интеллект изменит экономику

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

показать все

Virtual Private Network. Иное построение географически распределенных сетей

Главная / Архив номеров / 2010 / Выпуск №1 (1) / Virtual Private Network. Иное построение географически распределенных сетей

Рубрика: Технологии

Дополнительные материалы

Владимир Нефёдов, ведущий специалист отдела сетевых технологий компании ООО «Группа Ренессанс Страхование»

Virtual Private Network
Иное построение географически распределенных сетей

Прочитал статью «Virtual Private Network. Построение географически распределенных сетей» (№5-2010, журнал «Системный администратор») К. Кондакова, которая меня заинтересовала. Захотелось поделиться с коллегами своим опытом по организации связей между удаленными офисами посредством создания виртуальных частных сетей (VPN).

В статье [1] описана технология создания VPN-каналов с типом подключения точка-точка. Данный тип подключения обладает, на мой взгляд, некоторыми недостатками, а именно требует выделения провайдером постоянных IP-адресов, а при количестве туннелей более 20 администрирование становится затруднительным, т.к. надо менять конфигурацию оборудования и на центральной точке.

Я предлагаю альтернативу этой технологии под названием Cisco Easy VPN (простой VPN), которая представляет собой практически описанный в статье Константина Кондакова способ подключения пользователей через Cisco VPN Сlient, только реализованный на маршрутизаторах и межсетевых экранах ASA и PIX компании Cisco Systems и позволяющий подключать не только конкретного пользователя, но и целые сети.

Суть технологии основана на том, что есть центральный сервер EASY VPN, им могут быть как маршрутизаторы, так и межсетевые экраны, а также и концентратор 3000, и клиенты EASY VPN, которые подключаются к серверам и образуют шифрованный канал связи. При этом основные настройки сервера делаются только один раз, и далее к нему подключаются периферийные устройства. При этом периферийным устройствам не требуется выделенных провайдером постоянных IP-адресов.

Описание схемы и принцип работы

Рассмотрим гипотетическую схему распределенной корпоративной сети, представленную на рис. 1.

Рисунок 1. Схема переключения

В данной схеме мы имеем центральный офис компании в Магадане и подчиненные офисы в Лос-Анджелесе и Усть-Каменогорске, и банкомат, установленный в Твери. Сервером EASY VPN в Магадане является межсетевой экран компании Cisco Systems ASA 5510.

В данном примерев роли клиента EASY VPN выступают маршрутизаторы Cisco 871, хотя, как написано выше, клиентами могут являться межсетевые экраны компании Cisco Systems и рабочая станция с установленным ПО Cisco VPN Client.

Для примера возьмем приблизительно такую же внутреннюю адресацию, как и в статье Константина Кондакова:

Магадан (головной офис – внутренняя сеть 192.168.5.0/24 и 192.168.10.0/24, внешний адрес 11.11.11.11).
Офис в Лос-Анджелесе (внутренняя сеть 10.22.1.0/24, внешний адрес 22.22.22.22).
Офис в Усть-Каменогорске (внутренняя сеть 10.31.1.0/24, внешний адрес получают от провайдера по DHCP).
Офис в Твери (внутренняя сеть 10.13.1.0/24, внешний адрес получают от провайдера по DHCP).

Все офисы подключены через Интернет по VPN-туннелю к центральному офису в Магадане и терминируются на брандмауэр ASA 5510. Так как основные принципы подключения и авторизации пользователей Cisco VPN Client описаны в вышеприведенной статье, то остановимся более подробно на конфигурации сервера EASY VPN (Cisco ASA 5510) и клиентских устройств (в данном случае маршрутизаторов Cisco 871).

Итак, начнем с создания сервера на ASA 5510, к которому будут подключаться клиенты.

Создадим object-group и добавим туда клиентов:

object-group network nog-vpn
description For easy vpn client and mobile users
network-object 10.162.253.0 255.255.255.0
network-object 10.162.3.0 255.255.255.0
network-object 10.162.5.0 255.255.255.0

Исключим группу nog-vpn из NAT:

access-list inside_nat0_outbound extended permit ip any object-group nog-vpn nat (inside) 0 access-list inside_nat0_outbound

Создадим пользователя:

username u-easy-vpn password 5555555 encrypted
username u-easy-vpn attributes
! Увеличим количество одновременных подключений
vpn-simultaneous-logins 100
vpn-idle-timeout none
password-storage enable

Создадим параметры, согласно которым будет работать туннель:

crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto dynamic-map outside_dyn_map 20 set pfs
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5
crypto dynamic-map outside_dyn_map 20 set reverse-route
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
crypto isakmp enable outside

crypto isakmp policy 20
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400

Не будем использовать группу DefaultRAGroup, а создадим новую совместно с политиками для данной группы:

group-policy gp-easy-vpn internal
group-policy gp-easy-vpn attributes
vpn-tunnel-protocol IPSec
default-domain value bank.com
! В отличие от стандартной группы разрешим использование Network Extension
nem enable
tunnel-group tg-easy-vpn type remote-access
tunnel-group tg-easy-vpn general-attributes
default-group-policy gp-easy-vpn
tunnel-group tg-easy-vpn ipsec-attributes
pre-shared-key 4444444

Произведем настройку клиентов EASY VPN на маршрутизаторе Cisco 871, для чего:

Создадим клиента EASY VPN:

crypto ipsec client ezvpn ezvpn-magadan
connect auto
group tg-easy-vpn key 4444444
mode network-extension
peer 11.11.11.11
! Разрешим использование NAT
nat allow
username u-easy-vpn password 5555555
xauth userid mode local

Произведем настройку входного и выходного интерфейсов на примере Усть-Каменогорска:

interface FastEthernet4
bandwidth 2000
! Адрес от провайдера получаем по DHCP
ip address dhcp
ip nat outside
no ip route-cache cef
duplex auto
speed auto
crypto ipsec client ezvpn ezvpn-magadan output

interface Vlan1
ip address 10.161.3.254 255.255.255.0
crypto ipsec client ezvpn ezvpn-smr inside

! Создадим маршрут по умолчанию
ip route 0.0.0.0 0.0.0.0 dhcp

На этом основные настройки закончены. Более полную конфигурацию можно скачать на сайте журнала по ссылке [2].

***

Данный тип подключения требует значительно меньше настроечных работ, не зависит от адресации провайдера. Одним из небольших недостатков данного подключения является то, что оно всегда инициируется клиентом.

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи