|
Календарь мероприятий
апрель  2024
Пн |
Вт |
Ср |
Чт |
Пт |
Сб |
Вс |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | | | | | |
показать все 
Новости партнеров
RAMAX Group получила партнерский статус уровня Gold по продукту Tarantool
Читать далее
На RIGF 2024 обсудили ключевые вопросы цифрового развития России
Читать далее
OS Day 2024: «Архитектурные аспекты безопасности операционных систем»
Читать далее
Биометрические пароли и карманные дата-центры: россияне рассказали, чего ждут от «Экономики данных»
Читать далее
показать все
Статьи
5 способов повысить безопасность электронной подписи
Читать далее
Мотивируй, не то проиграешь!
Читать далее
В 2024 году в России и мире вырастут объемы применения AR/VR
Читать далее
Цифровые технологии: надежды и риски
Читать далее
Будут ли востребованы услуги технической поддержки софта Oracle в России в ближайшие годы?
Читать далее
Здания с признаками интеллекта. Как Сергей Провалихин автоматизирует дома и производства
Читать далее
Эпоха российской ориентации на Запад в сфере программного обеспечения завершилась
Читать далее
Сладкая жизнь
Читать далее
12 бизнес-концепций, которыми должны овладеть ИТ-руководители
Читать далее
Проще, чем кажется. Эталонная модель документооборота или краткое руководство по цифровой трансформации
Читать далее
показать все
|
Virtual Private Network. Иное построение географически распределенных сетей
Главная /
Архив номеров / 2010 / Выпуск №1 (1) / Virtual Private Network. Иное построение географически распределенных сетей
Рубрика:
Технологии
Дополнительные материалы
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
 Владимир Нефёдов, ведущий специалист отдела сетевых технологий компании ООО «Группа Ренессанс Страхование»
Virtual Private Network
Иное построение географически распределенных сетей
Прочитал статью «Virtual Private Network. Построение географически распределенных сетей» (№5-2010, журнал «Системный администратор») К. Кондакова, которая меня заинтересовала. Захотелось поделиться с коллегами своим опытом по организации связей между удаленными офисами посредством создания виртуальных частных сетей (VPN).
В статье [1] описана технология создания VPN-каналов с типом подключения точка-точка. Данный тип подключения обладает, на мой взгляд, некоторыми недостатками, а именно требует выделения провайдером постоянных IP-адресов, а при количестве туннелей более 20 администрирование становится затруднительным, т.к. надо менять конфигурацию оборудования и на центральной точке.
Я предлагаю альтернативу этой технологии под названием Cisco Easy VPN (простой VPN), которая представляет собой практически описанный в статье Константина Кондакова способ подключения пользователей через Cisco VPN Сlient, только реализованный на маршрутизаторах и межсетевых экранах ASA и PIX компании Cisco Systems и позволяющий подключать не только конкретного пользователя, но и целые сети.
Суть технологии основана на том, что есть центральный сервер EASY VPN, им могут быть как маршрутизаторы, так и межсетевые экраны, а также и концентратор 3000, и клиенты EASY VPN, которые подключаются к серверам и образуют шифрованный канал связи. При этом основные настройки сервера делаются только один раз, и далее к нему подключаются периферийные устройства. При этом периферийным устройствам не требуется выделенных провайдером постоянных IP-адресов.
Описание схемы и принцип работы
Рассмотрим гипотетическую схему распределенной корпоративной сети, представленную на рис. 1.
Рисунок 1. Схема переключения
В данной схеме мы имеем центральный офис компании в Магадане и подчиненные офисы в Лос-Анджелесе и Усть-Каменогорске, и банкомат, установленный в Твери. Сервером EASY VPN в Магадане является межсетевой экран компании Cisco Systems ASA 5510.
В данном примерев роли клиента EASY VPN выступают маршрутизаторы Cisco 871, хотя, как написано выше, клиентами могут являться межсетевые экраны компании Cisco Systems и рабочая станция с установленным ПО Cisco VPN Client.
Для примера возьмем приблизительно такую же внутреннюю адресацию, как и в статье Константина Кондакова:
- Магадан (головной офис – внутренняя сеть 192.168.5.0/24 и 192.168.10.0/24, внешний адрес 11.11.11.11).
- Офис в Лос-Анджелесе (внутренняя сеть 10.22.1.0/24, внешний адрес 22.22.22.22).
- Офис в Усть-Каменогорске (внутренняя сеть 10.31.1.0/24, внешний адрес получают от провайдера по DHCP).
- Офис в Твери (внутренняя сеть 10.13.1.0/24, внешний адрес получают от провайдера по DHCP).
Все офисы подключены через Интернет по VPN-туннелю к центральному офису в Магадане и терминируются на брандмауэр ASA 5510. Так как основные принципы подключения и авторизации пользователей Cisco VPN Client описаны в вышеприведенной статье, то остановимся более подробно на конфигурации сервера EASY VPN (Cisco ASA 5510) и клиентских устройств (в данном случае маршрутизаторов Cisco 871).
Итак, начнем с создания сервера на ASA 5510, к которому будут подключаться клиенты.
Создадим object-group и добавим туда клиентов:
object-group network nog-vpn
description For easy vpn client and mobile users
network-object 10.162.253.0 255.255.255.0
network-object 10.162.3.0 255.255.255.0
network-object 10.162.5.0 255.255.255.0
Исключим группу nog-vpn из NAT:
access-list inside_nat0_outbound extended permit ip any object-group nog-vpn nat (inside) 0 access-list inside_nat0_outbound
Создадим пользователя:
username u-easy-vpn password 5555555 encrypted
username u-easy-vpn attributes
! Увеличим количество одновременных подключений
vpn-simultaneous-logins 100
vpn-idle-timeout none
password-storage enable
Создадим параметры, согласно которым будет работать туннель:
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto dynamic-map outside_dyn_map 20 set pfs
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5
crypto dynamic-map outside_dyn_map 20 set reverse-route
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 20
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
Не будем использовать группу DefaultRAGroup, а создадим новую совместно с политиками для данной группы:
group-policy gp-easy-vpn internal
group-policy gp-easy-vpn attributes
vpn-tunnel-protocol IPSec
default-domain value bank.com
! В отличие от стандартной группы разрешим использование Network Extension
nem enable
tunnel-group tg-easy-vpn type remote-access
tunnel-group tg-easy-vpn general-attributes
default-group-policy gp-easy-vpn
tunnel-group tg-easy-vpn ipsec-attributes
pre-shared-key 4444444
Произведем настройку клиентов EASY VPN на маршрутизаторе Cisco 871, для чего:
Создадим клиента EASY VPN:
crypto ipsec client ezvpn ezvpn-magadan
connect auto
group tg-easy-vpn key 4444444
mode network-extension
peer 11.11.11.11
! Разрешим использование NAT
nat allow
username u-easy-vpn password 5555555
xauth userid mode local
Произведем настройку входного и выходного интерфейсов на примере Усть-Каменогорска:
interface FastEthernet4
bandwidth 2000
! Адрес от провайдера получаем по DHCP
ip address dhcp
ip nat outside
no ip route-cache cef
duplex auto
speed auto
crypto ipsec client ezvpn ezvpn-magadan output
interface Vlan1
ip address 10.161.3.254 255.255.255.0
crypto ipsec client ezvpn ezvpn-smr inside
! Создадим маршрут по умолчанию
ip route 0.0.0.0 0.0.0.0 dhcp
На этом основные настройки закончены. Более полную конфигурацию можно скачать на сайте журнала по ссылке [2].
***
Данный тип подключения требует значительно меньше настроечных работ, не зависит от адресации провайдера. Одним из небольших недостатков данного подключения является то, что оно всегда инициируется клиентом.
- http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080809222.shtml.
- http://www.samag.ru/source/config_VPN.zip.
В начало⇑
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
Комментарии отсутствуют
Комментарии могут отставлять только зарегистрированные пользователи
|
_cover.jpg)
