Сурков Л.В. - Построение виртуальных частных сетей VPN в сетевой среде Windows Server 2008 или 2003 (1075631), страница 6
Текст из файла (страница 6)
Подключившись к Интернету, маршрутизатор филиала(VPN-клиент) создает межмаршрутизаторное VPN-соединение с маршрутизаторомцентрального офиса (VPN-сервером).МГТУ им. БауманаКафедра ИУ-625Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/2003» Rev.
20101.2.3.4.Чтобы настроить маршрутизатор филиала:Добавьте интерфейс соединения по требованию для подключения к Интернету инастройте его на использование нужного оборудования (модема или ISDNустройства). Затем укажите телефонный номер местного ISP, имя и парольпользователя, необходимые для получения доступа в Интернет.Добавьте интерфейс соединения по требованию для межмаршрутизаторного VPNсоединения с маршрутизатором центрального офиса и настройте его на использованиеРРТР или L2TP Затем укажите IP-адрес или хост-имя Интернет-интерфейса VPNсервера центрального офиса, а также имя и пароль пользователя, которые сможетпроверить VPN-сервер. Имя пользователя должно совпадать с именем интерфейсасоединения по требованию на VPN-сервере центрального офиса.Создайте статический маршрут к хосту для IP-адреса Интернет-интерфейса VPNсервера; этот маршрут должен использовать интерфейс соединения по требованию,через который маршрутизатор филиала связывается с местным ISP.Создайте статический маршрут или маршруты для идентификаторов сетей вкорпоративной интрасети; эти маршруты должны использовать VPN-интерфейссоединения по требованию.Чтобы настроить маршрутизатор центрального офиса:1.
Добавьте интерфейс соединения по требованию для VPN-соединения смаршрутизатором филиала и настройте его на использование VPN-устройства (РРТРили L2TP-порта). Имя интерфейса соединения по требованию должно совпадать сименем пользователя в аутентификационных удостоверениях маршрутизаторафилиала.2. Создайте статический маршрут или маршруты для идентификаторов сетей в интрасетифилиала; эти маршруты должны использовать VPN-интерфейс соединения потребованию.VPN-соединениемеждумаршрутизаторамиавтоматическиинициируетсямаршрутизатором филиала, и вот что при этом происходит.1. Пакеты, передаваемые в корпоративную сеть от пользователя в сети филиала,пересылаются клиентским компьютером этого пользователя на маршрутизаторфилиала.2.
Маршрутизатор филиала просматривает свою таблицу маршрутизации и находитнужный маршрут, использующий VPN-интерфейс соединения по требованию.3. Маршрутизатор филиала проверяет VPN-интерфейс соединения по требованию иобнаруживает, что он находится в отключенном состоянии.4. Маршрутизатор филиала считывает конфигурационные параметры этого интерфейса.5. На основе полученных параметров маршрутизатор филиала пытаетсяинициализировать VPN-соединение между маршрутизаторами, используя IP-адресVPN-сервера в Интернете.6.
Для создания VPN-соединения нужно либо установить TCP-соединение (прииспользовании РРТР), либо выполнить процесс согласования IPSec с VPN-сервером. Сэтой целью генерируется пакет запроса на VPN-соединение.7. Чтобы переслать этот пакет маршрутизатору центрального офиса, маршрутизаторфилиала отыскивает в своей таблице маршрутизации маршрут к хосту, указывающийна ISP-интерфейс соединения по требованию.8.
Маршрутизатор филиала проверяет ISP-интерфейс соединения по требованию иобнаруживает, что он находится в отключенном состоянии.МГТУ им. БауманаКафедра ИУ-626Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/2003» Rev. 20109. Маршрутизатор филиала считывает конфигурационные параметры этого интерфейса.10. На основе полученных параметров маршрутизатор филиала устанавливает соединениес местным ISP по модему или через ISDN-адаптер.11. Установив соединение с ISP, маршрутизатор филиала посылает маршрутизаторуцентрального офиса пакет запроса на VPN-соединение.12. После этого оба маршрутизатора согласуют параметры VPN-соединения.
В процессесогласования маршрутизатор филиала посылает аутентификационные удостоверения,проверяемые маршрутизатором центрального офиса.13. Маршрутизатор центрального офиса проверяет свои интерфейсы соединения потребованию и выбирает тот, чье имя совпадает с именем пользователя, указанным приаутентификации. Затем этот интерфейс переводится в подключенное состояние.14.
Маршрутизатор филиала отправляет пакеты по VPN-соединению, а VPN-серверпересылает их на соответствующий адрес в корпоративной сети.Статическая и динамическая маршрутизацияСоздав интерфейсы соединения по требованию и сделав выбор между временными ипостоянными соединениями, Вы должны решить, каким способом следует добавлятьинформацию о маршрутах в таблицу маршрутизации.1. В случае временных соединений Вы можете вручную добавить нужные статическиемаршруты, позволяющие достичь адресов в сетях других офисов.
Этот вариантподходит для малых межсетевых сред с небольшим числом маршрутов.2. В случае временных соединений Вы можете использовать механизм автостатическихобновлений для периодического обновления статических маршрутов, обеспечивающихпередачу пакетов по VPN-соединению между маршрутизаторами. Этот вариантхорошо работает в крупных межсетевых средах с большим количеством маршрутов.3. В случае постоянных соединений разрешите функционирование нужных протоколовмаршрутизации через VPN-соединение между маршрутизаторами. Протоколы будутсчитать это VPN-соединение каналом связи типа «точка-точка».В отличие от маршрутизации с соединением по требованию на основе прямыхфизических подключений в данном случае IP-маршрут по умолчанию, созданный дляVPN-интерфейса соединения по требованию, не годится для суммирования всехмаршрутов интрасети, доступных через VPN.
Поскольку маршрутизатор подключен кИнтернету, маршрут по умолчанию должен суммировать все маршруты Интернета, и Выдолжны настроить его на использование Интернет-интерфейса.Аутентификация на основе общего ключа при использовании L2TPповерх IPSec для VPN-соединений между маршрутизаторамиПо умолчанию L2ТР-клиент и L2TP-сервер Windows 2008 настраиваются на IPSecаутентификацию на основе сертификатов. Когда Вы устанавливаете соединение L2TPповерх IPSec, автоматически создается политика IP-безопасности, заставляющая IKE(Internet Key Exchange) в процессе согласования параметров защиты для L2TPиспользовать аутентификацию на основе сертификатов. Это означает, что у L2ТР-клиентаи сервера должны быть машинные сертификаты.
Они могут быть получены от центрасертификации (certificate authority, CA), либо на каждом компьютере должна бытьустановлена копия корневого сертификата СА другой стороны, полученная из хранилищадоверенного корневого центра сертификации.Иногда IPSec-аутентификация на основе сертификатов для VPN-соединений междумаршрутизаторами с использованием L2TP нежелательна — например, когда у Васнебольшая организация и Вы не хотите развертывать инфраструктуру сертификации илиМГТУ им.
БауманаКафедра ИУ-627Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/2003» Rev. 2010когда Вы подключаетесь к маршрутизаторам, не поддерживающим такой вид IPSecаутентификации. В таких случаях Вы можете вручную создать политику IP-безопасности,заставляющую при установлении VPN-соединений между маршрутизаторамииспользовать общие ключи (pre-shared keys). Подобный ключ действует как простойпароль в IKE-процессе согласования: если обе стороны подтверждают, что им известенэтот пароль, значит, они доверяют друг другу и могут продолжить согласование закрытыхключей симметричного шифрования и специфических параметров защиты L2ТР-трафика.Общий ключ IKE считается менее надежным, чем сертификаты, поскольку IKEаутентификация (и неявное доверие) зависит лить от одного ключа, значение которогохранится в политике IP-безопасности открытым текстом.
Любой человек, просмотревпараметры этой политики, узнает значение общего ключа. Получив этот ключ,злоумышленник мог бы сконфигурировать свою систему в соответствии с параметрамиIPSec Вашей системы. Однако L2ТР-соединение требует проверки подлинности на уровнепользователя с применением одного из РРР-протоколов аутентификации. Поэтому дляуспешного установления соединения L2TP поверх IPSec одного общего ключа мало —нужно знать еще и учетные данные.Для перехода на аутентификацию на основе общего ключа применительно кмежмаршрутизаторным VPN-соединениям L2TP поверх IPSec нужно модифицироватьреестр и соответственно настроить параметры политики IP-безопасности.Чтобы запретить службе маршрутизации и удаленного доступа автоматическисоздавать политику IP-безопасности для L2ТР-трафика, присвойте параметруРгоhibitIPSecвразделереестраHKEY_LOCAL_MACHINE\System\CurrentContro1Set\Services\RasMan\Parameters значение1.
По умолчанию РгоhibitIPSec равен 0.Когда Вы меняете значение РгоhibitIPSec на 1, параметры шифрования дляинтерфейса соединения по требованию на вызывающем маршрутизаторе замещаютсяпараметрами шифрования из созданной Вами политики IP-безопасности.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
