ноябрь    2025

Пн	Вт	Ср	Чт	Пт	Сб	Вс
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30

показать все 

31.10.2025

Почти 70% компаний не используют системы защиты от утечек данных

Читать далее 

30.10.2025

Айсорс запустил Центр промышленной автоматизации

Читать далее 

30.10.2025

Каждая вторая компания в мире внедряет системы управления процессами — рынок вырос вдвое за год

Читать далее 

30.10.2025

State of DevOps Russia 2025: рост зрелости команд, интеграция AI и приоритет безопасности

Читать далее 

30.10.2025

70% компаний не соответствуют требованиям закона о защите персональных данных

Читать далее 

показать все 

31.10.2025

Поддержка 1С - "черная дыра" IT- бюджета: как превратить хаос в управляемый процесс и оптимизировать затраты

Читать далее 

18.10.2025

Как посчитать реальную выгоду от ИИ в видеонаблюдении?

Читать далее 

18.10.2025

Управление расходами: режем косты с помощью ИИ

Читать далее 

17.10.2025

Безопасность как сервис (SECaaS)

Читать далее 

16.10.2025

До 97% выросло количество людей, которые реагируют на утечку своих персональных данных

Читать далее 

29.07.2025

Точность до метра и сантиметра: как применяют технологии позиционирования

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

22.09.2023

Эпоха российской ориентации на Запад в сфере программного обеспечения завершилась

Читать далее 

22.09.2023

Сладкая жизнь

Читать далее 

22.09.2023

12 бизнес-концепций, которыми должны овладеть ИТ-руководители

Читать далее 

показать все 

Главная / Архив номеров / 2010 / Выпуск №1 (1) / Virtual Private Network. Иное построение географически распределенных сетей

Рубрика: Технологии

Дополнительные материалы

 Владимир Нефёдов, ведущий специалист отдела сетевых технологий компании ООО «Группа Ренессанс Страхование»

Virtual Private Network
Иное построение географически распределенных сетей

Прочитал статью «Virtual Private Network. Построение географически распределенных сетей» (№5-2010, журнал «Системный администратор») К. Кондакова, которая меня заинтересовала. Захотелось поделиться с коллегами своим опытом по организации связей между удаленными офисами посредством создания виртуальных частных сетей (VPN).

В статье [1] описана технология создания VPN-каналов с типом подключения точка-точка. Данный тип подключения обладает, на мой взгляд, некоторыми недостатками, а именно требует выделения провайдером постоянных IP-адресов, а при количестве туннелей более 20 администрирование становится затруднительным, т.к. надо менять конфигурацию оборудования и на центральной точке.

Я предлагаю альтернативу этой технологии под названием Cisco Easy VPN (простой VPN), которая представляет собой практически описанный в статье Константина Кондакова способ подключения пользователей через Cisco VPN Сlient, только реализованный на маршрутизаторах и межсетевых экранах ASA и PIX компании Cisco Systems и позволяющий подключать не только конкретного пользователя, но и целые сети.

Суть технологии основана на том, что есть центральный сервер EASY VPN, им могут быть как маршрутизаторы, так и межсетевые экраны, а также и концентратор 3000, и клиенты EASY VPN, которые подключаются к серверам и образуют шифрованный канал связи. При этом основные настройки сервера делаются только один раз, и далее к нему подключаются периферийные устройства. При этом периферийным устройствам не требуется выделенных провайдером постоянных IP-адресов.

Описание схемы и принцип работы

Рассмотрим гипотетическую схему распределенной корпоративной сети, представленную на рис. 1.

Рисунок 1. Схема переключения

В данной схеме мы имеем центральный офис компании в Магадане и подчиненные офисы в Лос-Анджелесе и Усть-Каменогорске, и банкомат, установленный в Твери. Сервером EASY VPN в Магадане является межсетевой экран компании Cisco Systems ASA 5510.

В данном примерев роли  клиента EASY VPN выступают маршрутизаторы Cisco 871, хотя, как написано выше, клиентами могут являться межсетевые экраны компании Cisco Systems и рабочая станция с установленным ПО Cisco VPN Client.

Для примера возьмем приблизительно такую же внутреннюю адресацию, как и в статье Константина Кондакова:

• Магадан (головной офис – внутренняя сеть 192.168.5.0/24 и 192.168.10.0/24, внешний адрес 11.11.11.11).
• Офис в Лос-Анджелесе (внутренняя сеть 10.22.1.0/24, внешний адрес 22.22.22.22).
• Офис в Усть-Каменогорске (внутренняя сеть 10.31.1.0/24, внешний адрес получают от провайдера по DHCP).
• Офис в Твери (внутренняя сеть 10.13.1.0/24, внешний адрес получают от провайдера по DHCP).

Все офисы подключены через Интернет по VPN-туннелю к центральному офису в Магадане и терминируются на брандмауэр ASA 5510. Так как основные принципы подключения и авторизации пользователей Cisco VPN Client описаны в вышеприведенной статье, то остановимся более подробно на конфигурации сервера EASY VPN (Cisco ASA 5510) и клиентских устройств (в данном случае маршрутизаторов Cisco 871).

Итак, начнем с создания сервера на ASA 5510, к которому будут подключаться клиенты.

Создадим object-group и добавим туда клиентов:

object-group network nog-vpn
 description For easy vpn client and mobile users
 network-object 10.162.253.0 255.255.255.0
 network-object 10.162.3.0 255.255.255.0
 network-object 10.162.5.0 255.255.255.0

Исключим группу nog-vpn из NAT:

access-list inside_nat0_outbound extended permit ip any object-group nog-vpn nat (inside) 0 access-list inside_nat0_outbound

Создадим пользователя:

username u-easy-vpn password 5555555 encrypted
username u-easy-vpn attributes
! Увеличим количество одновременных подключений
vpn-simultaneous-logins 100
vpn-idle-timeout none
password-storage enable

Создадим параметры, согласно которым будет работать туннель:

crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto dynamic-map outside_dyn_map 20 set pfs
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5
crypto dynamic-map outside_dyn_map 20 set reverse-route
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
crypto isakmp enable outside

crypto isakmp policy 20
 authentication pre-share
 encryption 3des
 hash md5
 group 2
 lifetime 86400

Не будем использовать группу DefaultRAGroup, а создадим новую совместно с политиками для данной группы:

group-policy gp-easy-vpn internal
group-policy gp-easy-vpn attributes
 vpn-tunnel-protocol IPSec
 default-domain value bank.com
 ! В отличие от стандартной группы разрешим использование Network Extension
 nem enable
tunnel-group tg-easy-vpn type remote-access
tunnel-group tg-easy-vpn general-attributes
 default-group-policy gp-easy-vpn
 tunnel-group tg-easy-vpn ipsec-attributes
 pre-shared-key 4444444

Произведем настройку клиентов EASY VPN на маршрутизаторе Cisco 871, для чего:

Создадим клиента EASY VPN:

crypto ipsec client ezvpn ezvpn-magadan
 connect auto
 group tg-easy-vpn key 4444444
 mode network-extension
 peer 11.11.11.11
 ! Разрешим использование NAT
 nat allow
 username u-easy-vpn password 5555555
 xauth userid mode local

Произведем настройку входного и выходного интерфейсов на примере Усть-Каменогорска:

interface FastEthernet4
 bandwidth 2000
 ! Адрес от провайдера получаем по DHCP
 ip address dhcp
 ip nat outside
 no ip route-cache cef
 duplex auto
 speed auto
 crypto ipsec client ezvpn ezvpn-magadan output

interface Vlan1
 ip address 10.161.3.254 255.255.255.0
 crypto ipsec client ezvpn ezvpn-smr inside

! Создадим маршрут по умолчанию
ip route 0.0.0.0 0.0.0.0 dhcp

На этом основные настройки закончены. Более полную конфигурацию можно скачать на сайте журнала по ссылке [2].

***

Данный тип подключения требует значительно меньше настроечных работ, не зависит от адресации провайдера. Одним из небольших недостатков данного подключения является то, что оно всегда инициируется клиентом.

1. http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080809222.shtml.
2. http://www.samag.ru/source/config_VPN.zip.

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи