Сурков Л.В. - Построение виртуальных частных сетей VPN в сетевой среде Windows Server 2008 или 2003
Описание файла
PDF-файл из архива "Сурков Л.В. - Построение виртуальных частных сетей VPN в сетевой среде Windows Server 2008 или 2003", который расположен в категории "". Всё это находится в предмете "языки интернет-программирования" из 5 семестр, которые можно найти в файловом архиве МГТУ им. Н.Э.Баумана. Не смотря на прямую связь этого архива с МГТУ им. Н.Э.Баумана, его также можно найти и в других разделах. Архив можно найти в разделе "книги и методические указания", в предмете "языки интернет-программирования" в общих файлах.
Просмотр PDF-файла онлайн
Текст из PDF
Министерство образования и науки Российской ФедерацииФедеральное агентство по образованиюМосковский Государственный Технический Университет им. Н.Э.БауманаФакультет «Информатика и системы управления»Кафедра «Компьютерные системы и сети»Сурков Л.В.Методические указания к лабораторной работепо дисциплинеКорпоративные сетиПостроение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/20032010Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/2003» Rev.
2010ВВЕДЕНИЕ ....................................................................................................................................3ЭЛЕМЕНТЫ VPN-СОЕДИНЕНИЯ.............................................................................................4VPN-соединения ........................................................................................................................4VPN-соединение удаленного доступа .................................................................................5VPN-соединение между маршрутизаторами ......................................................................5VPN-соединения через Интернет или интрасети ...................................................................5VPN-соединения через Интернет.........................................................................................5VPN-соединения через интрасети........................................................................................6Комбинированные VPN-соединения через Интернет и интрасети ..................................8УПРАВЛЕНИЕ ВИРТУАЛЬНЫМИ ЧАСТНЫМИ СЕТЯМИ .................................................9ТУННЕЛЬНЫЕ ПРОТОКОЛЫ..................................................................................................10PPTP ..........................................................................................................................................10Поддержание туннеля с помощью управляющего РРТР-соединения............................10Туннелирование данных средствами РРТР ......................................................................11РРТР-пакеты и сетевая архитектура Windows 2008.........................................................12L2TP ..........................................................................................................................................13Поддержание туннеля с помощью управляющих L2TP-сообщений .............................14Туннелирование данных средствами L2TP ......................................................................15Пакеты L2TP поверх IPSec и сетевая архитектура Windows 2008 .................................17ЗАЩИТА ВИРТУАЛЬНЫХ ЧАСТНЫХ СЕТЕЙ ....................................................................18АДРЕСАЦИЯ И МАРШРУТИЗАЦИЯ ПРИ ИСПОЛЬЗОВАНИИ ВИРТУАЛЬНЫХЧАСТНЫХ СЕТЕЙ .....................................................................................................................20VPN-соединения удаленного доступа ...................................................................................20VPN-соединения между маршрутизаторами ........................................................................24Временные и постоянные VPN-соединения между маршрутизаторами .......................25VPN-соединения через подключение удаленного доступа с ISP ...................................25Статическая и динамическая маршрутизация ..................................................................27Аутентификация на основе общего ключа при использовании L2TP поверх IPSec дляVPN-соединений между маршрутизаторами....................................................................27ВИРТУАЛЬНЫЕ ЧАСТНЫЕ СЕТИ И БРАНДМАУЭРЫ ......................................................30Конфигурации VPN-сервера и брандмауэра.........................................................................30VPN-сервер перед брандмауэром ......................................................................................30VPN-сервер за брандмауэром.............................................................................................31ВИРТУАЛЬНЫЕ ЧАСТНЫЕ СЕТИ И NAT ............................................................................34РРТР-трафик.............................................................................................................................34Трафик L2TP поверх IPSec .....................................................................................................34СКВОЗНЫЕ VPN-СОЕДИНЕНИЯ............................................................................................36Конфигурирование VPN-сервера компании А .....................................................................37Конфигурирование VPN-сервера компании В .....................................................................37Настройка компьютера VPN-клиента на использование сквозной VPN ...........................38ВЫЯВЛЕНИЕ И УСТРАНЕНИЕ ПРОБЛЕМ...........................................................................40Наиболее распространенные проблемы с VPN ....................................................................40Средства диагностики .............................................................................................................44ПРАКТИЧЕСКАЯ ЧАСТЬ .........................................................................................................46LAB 1.
VPN-соединение удаленного доступа ......................................................................46LAB 2.1 Установка маршрута по умолчанию.......................................................................53LAB 2.2 Установка маршрута по умолчанию.......................................................................56LAB 3. VPN-Соединение между маршрутизаторами по требованию................................71LAB 4. Сквозное VPN-соединение ........................................................................................88МГТУ им.
БауманаКафедра ИУ-62Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/2003» Rev. 2010ВведениеВиртуальная частная сеть (virtual private network, VPN) — это расширение частной сети,включающей соединения через общедоступные сети, обычно Интернет. VPN позволяетпередавать данные между двумя компьютерами по общедоступным сетям, эмулируясвойства частного канала связи типа «точка-точка». Для эмуляции канала связи «точкаточка» данные инкапсулируются в пакет с заголовком, который содержит информацию омаршрутах, необходимую для пересылки этого пакета в конечную точку пообщедоступным сетям.
Кроме того, передаваемые данные зашифровываются (можнозашифровать). Канал связи, при использовании которого частные данныеинкапсулируются и зашифровываются, называется VPN-соединением. VPN-соединениятакже позволяют организациям создавать маршрутизируемые подключения ктерриториально удаленным офисам и другим организациям по общедоступным сетямтипа Интернета, в то же время, обеспечивая защиту коммуникационных связей.Маршрутизируемое VPN-соединение (routed VPN connection) через Интернет налогическом уровне обрабатывается как выделенный WAN-канал.
Обладая свойствами какудаленных, так и маршрутизируемых соединений, VPN-соединения позволяюторганизации заменить междугородные выделенные или коммутируемые линииудаленного доступа на локальные выделенные линии или удаленный доступ покоммутируемой линии к местному провайдеру Интернет-услуг (Internet service provider,ISP).VPN-соединениеIntenetЛогический эквивалентРисунок 1МГТУ им. БауманаКафедра ИУ-63Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/2003» Rev. 2010Элементы VPN-соединенияVPN-сервер.
Компьютер, принимающий запросы на VPN-соединения от VPNклиентов. VPN-сервер поддерживает VPN-соединения удаленного доступа и VPNсоединения между маршрутизаторами.VPN-клиент. Компьютер, инициирующий VPN-соединение с VPN-сервером. VPNклиент может быть автономным компьютером, используемым для удаленного доступа,или маршрутизатором, принимающим межмаршрутизаторные VPN-соединения.Туннель. Часть соединения, по которой данные передаются в инкапсулированномвиде.VPN-соединение. Часть соединения, по которой данные передаются в шифрованномвиде. В случае безопасных VPN-соединений данные зашифровываются иинкапсулируются на одной и той же части соединения.Протоколы туннелирования (туннелирующие протоколы).
Коммуникационныестандарты, применяемые для управления туннелями и инкапсуляции конфиденциальныхданных. Windows 2008 включает протоколы туннелирования РРТР и L2TP.Туннелированные данные. Данные, которые обычно передаются по частному каналусвязи типа «точка-точка».Транзитная межсетевая среда.
Открытая или общедоступная межсетевая среда,через которую передаются инкапсулированные данные. В случае Windows 2008транзитной всегда является межсетевая IP-среда. Транзитной межсетевой средой можетбыть Интернет или частная IP-интрасеть.VPN-серверТуннельVPN-соединениеIntenetVPN-клиентТранзитнаямежсетевая средаРисунок 2VPN-соединенияСоздание VPN-соединения во многом аналогично установлению соединения типа«точка-точка» по коммутируемой линии или при маршрутизации с соединением потребованию. Существует два типа VPN-соединений: VPN-соединение удаленного доступа(remote access VPN connection) и VPN-соединение между маршрутизаторами (router-torouter VPN connection).МГТУ им. БауманаКафедра ИУ-64Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/2003» Rev.
2010VPN-соединение удаленного доступаТакое соединение инициируется клиентом удаленного доступа (компьютероминдивидуального пользователя), который подключается к частной сети. VPN-серверпредоставляет доступ к своим ресурсам или ко всей сети, с которой он связан. Пакеты,передаваемые по VPN-соединению, генерируются клиентом удаленного доступа.Клиент удаленного доступа (VPN-клиент) аутентифицируется на сервере удаленногодоступа (VPN-сервере), а тот — на клиенте (в случае взаимной аутентификации).VPN-соединение между маршрутизаторамиДанное VPN-соединение инициируется маршрутизатором и связывает два фрагментачастной сети.
VPN-сервер предоставляет маршрутизируемое соединение с сетью, ккоторой он подключен. При VPN-соединении между маршрутизаторами пакетыпередаются одним из них и обычно генерируются другими компьютерами.Вызывающий маршрутизатор (VPN-клиент) аутентифицируется на отвечающем(VPN-сервере), а отвечающий — на вызывающем (в случае взаимной аутентификации).VPN-соединения через Интернет или интрасетиVPN-соединения через ИнтернетИспользуя такие соединения, Вы избегаете расходов па междугородную и/илимеждународную телефонную связь и в то же время получаете все преимуществаглобальных Интернет-коммуникаций.Удаленный доступ через ИнтернетКлиент удаленного доступа — вместо того чтобы связываться с корпоративным илиаутсорсинговым сервером доступа в сеть по междугородной связи — звонит местномуISP.