Главная страница Случайная страница
Разделы сайта
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
Протоколы для организации VPN
|
|
Поскольку данные в виртуальных частных сетях передаются через общедоступную сеть, следовательно, они должны быть надежно защищены от посторонних глаз. Для реализации защиты передаваемой информации существует множество протоколов, которые защищают VPN, но все они подразделяются на два вида и работают в паре:
1) протоколы, инкапсулирующие данные и формирующие VPN соединение;
2) протоколы, шифрующие данные внутри созданного туннеля.
Первый тип протоколов устанавливает туннелированное соединение, а второй тип отвечает непосредственно за шифрование данных.
К первому типу протоколов относятся, например, протоколы: PPTP и L2TP.
PPTP (Point-to-Point Tunneling Protocol) – туннельный протокол «точка-точка является расширением PPP (Point-to-Point Protocol), следовательно, использует его механизмы проверки подлинности, сжатия и шифрования. Протокол PPTP является встроенным в клиент удаленного доступа Windows. При стандартном выборе данного протокола предлагается использовать метод шифрования MPPE (Microsoft Point-to-Point Encryption). Можно передавать данные без шифрования в открытом виде.
Инкапсуляция данных в протоколе PPTP происходит путем добавления туннельного заголовка GRE и заголовка IP к данным, обработанным протоколом PPP.
На рисунке 10.8 показана структура PPTP-пакета, включающая следующие поля:
Рисунок 10.8 – Структура PPTP-пакета
- IP-дейтаграмма – исходный пакет локальной сети, содержащий пользовательские данные и IP-заголовок локальной адресации;
- PPP-заголовок и - GRE-заголовок - данные, необходимые для создания и поддержания VPN-туннеля;
- IP-заголовок – реальный IP-адрес VPN-шлюза назначения и другие данные для передачи пакета через Интернет между входами туннеля.
Примечание
PPP (англ. Point-to-Point Protocol) – протокол канального уровня сетевой модели OSI, используемый в разных типах физических сетей для создания канала связи между двумя узлами с обеспечением аутентификации, шифрования и сжатия данных.
GRE (англ. Generic Routing Encapsulation) – протокол туннелирования, выполняющий инкапсуляцию пакетов сетевого уровня одной сети в IP-пакеты другой сети.
L2TP (Layer Two Tunneling Protocol) – более совершенный протокол. Предоставляет более защищенное соединение, нежели PPTP, шифрование происходит средствами протокола IPSec (IP-security). L2TP является также встроенным в клиент удаленного доступа Windows.
Инкапсуляция данных происходит путем добавления заголовков L2TP и IPSec к данным обработанным протоколом PPP. IPSec (IP Security Protocol) - это современный набор протоколов обеспечивающих создание VPN-соединения, аутентификацию, доступ и контроль. IPSec функционирует на сетевом уровне эталонной модели взаимодействия, позволяет создавать кодированные туннели VPN или кодировать трафик между двумя узлами. В состав службы IPSec входят протоколы: AH (Autentication Header) – аутентификация источника и проверка целостности сообщений, ESP (Encapsulating Security Payload) – шифрование сообщений.
ПРИЛОЖЕНИЕ Перевод наиболее часто используемых терминов для конфигурирования сетей передачи данных
| Command Line Interface – CLI | интерфейс командной строки |
| User EXEC Mode | Пользовательский режим |
| Privileged EXEC Mode | Привилегированный режим |
| Global Configuration Mode | Режим глобальной конфигурации |
| Enable | включить |
| disable | отключить |
| exit | выход |
| Continue with configuration dialog? | Продолжить диалог конфигурирования? |
| Switch | коммутатор |
| Router | маршрутизатор |
| default-gateway | Шлюз по умолчанию |
| configure terminal | Настроить терминал |
| hostname | Имя хоста |
| show running-configuration | Просмотр текущего конфигурационного файла |
| enter | ввод |
| password | пароль |
| interface FastEthernet | интерфейс Fast Ethernet |
| ip address | IP-адрес |
| no shutdown | Не выключен |
| show interfaces | Показать интерфейсы |
| clock rate | тактовая частота (скорость передачи) |
| copy running-config startup | Сохранение созданного конфигурационного файла |
| show ip route | Показать ip маршрут |
| directly connected | Непосредственное подключение |
| ping | Эхо запрос (проверка связи) |
| traceroute | трассировка |
| Success rate is 100 percent | Успех составляет 100 процентов |
| Desktop | Рабочий стол |
| Command Prompt | Командная строка |
| Reply from | Ответ от |
| Packets: Sent = 4, Received = 4, Lost = 0 (0% loss) | Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь) |
| host unreachable | Хост не доступен |
| Remove | удаление |
| network | сеть |
| Trace complete | Трассировка завершена |
| permit | разрешать |
| deny | запрещать |
| access-list | Список доступа |
| access-group | Группа доступа |
| end | конец |
Основные команды для выполнения лабораторной работы №1 «Начальная настройка маршрутизаторов»
| Приглашение | Описание |
| Router> | Пользовательский режим |
| Router# | Привилегированный режим |
| Router (config)# | Режим глобального конфигурирования |
| № сети | IP-адрес сети | Интерфейсы | IP-адрес интерфейса |
| Сеть 1 | 192.168.10.0/24 | F0/0 | 192.168.10.1 |
| Сеть 2 | 192.168.20.0/24 | F0/0 | 192.168.20.1 |
| Сеть 3 | 192.168.30.0/24 | F0/0 | 192.168.30.1 |
| Сеть 4 | 192.168.40.0/24 | F0/0 | 192.168.40.1 |
| Сеть 5 | 200.50.50.0/24 | S1/1 | 200.50.50.11 |
| S1/2 | 200.50.50.12 | ||
| Сеть 6 | 200.60.60.0/24 | S1/1 | 200.60.60.11 |
| S1/2 | 200.60.60.12 | ||
| Сеть 7 | 200.70.70.0/24 | S1/1 | 200.70.70.11 |
| S1/2 | 200.70.70.12 |
Router_А(config)#int s1/1Router_А(config-if)#ip address 200.50.50.11 255.255.255.0Router_А(config-if)#clock rate 64000 (установка скорости передачи на последовательном ведущем интерфейсе)Router_А(config-if)# no shutdown
Router_А#copy run start (Сохранение созданного конфигурационного файла) Router#erase start полная очистка конфигурацию маршрутизатора, если этонеобходимо)
Основные команды для выполнения лабораторной работы №2 «Конфигурирование статической маршрутизации»
Router> enableRouter#config tRouter(config)#hostname Router_BRouter_B(config)#ip route 192.168.10.0 255.255.255.0 200.50.50.11 (статическая маршрутизация)Router_B(config)#ip route 192.168.30.0 255.255.255.0 200.60.60.12Router_B(config)#ip route 192.168.40.0 255.255.255.0 200.60.60.12Router_B(config)#ip route 200.70.70.0 255.255.255.0 200.60.60.12Router_B(config)#exitRouter_B#copy run start
Router_B#sh ip route (просмотр маршрутной таблицы)Router_A#config tRouter_A(config)#ip route 0.0.0.0 0.0.0.0 200.50.50.12 (статиче ская маршрутизация по умолчанию)Router_B#ping 192.168.10.1 (Эхо-запрос - проверка связи между маршрутизаторами)Router_A#traceroute 192.168.40.1 (Трассировка - проверка связи между маршрутизаторами)
Основные команды для выполнения лабораторной работы №3 «Конфигурирование протокола RIP»
Router_С> ena
Router_С#conf t
Router_С(config)#router rip конфигурирование протокола RIPRouter_С(config-router)#network 200.60.60.0Router_С(config-router)#network 200.70.70.0Router_С(config-router)#network 192.168.30.0
End
Router_C#sh ip route
Router_D#ping 192.168.10.3
PC> tracert 192.168.40.3
Основные команды для выполнения лабораторной работы №4 «Настройка списков доступа в маршрутизаторах»
Рисунок 2 – Схема для выполнения лабораторных работ №4
| № сети | IP-адрес сети | Интерфейсы | IP-адрес интерфейса |
| Сеть 1 сервер 1-11 сервер 1-12 | 192.168.10.0/24 | Router_A F0/0 | Шлюз 192.168.10.1 192.168.10.11 192.168.10.12 |
| Сеть 2 Host 2-11 Host 2-12 | 192.168.20.0/24 | Router_B F0/0 | Шлюз 192.168.20.1 192.168.20.11 192.168.20.12 |
| Сеть 3 Host 3-11 Host 3-12 | 192.168.30.0/24 | Router_C F0/0 | Шлюз 192.168.30.1 192.168.30.11 192.168.30.12 |
| Сеть 5 | 200.50.50.0/24 | F0/1 | 200.50.50.11 |
| F0/1 | 200.50.50.12 | ||
| Сеть 6 | 200.60.60.0/24 | F1/0 | 200.60.60.11 |
| F1/0 | 200.60.60.12 |
Router_A(config)#int f0/1 сконфигурировать все роутеры и ПК
Router_A(config-if)#ip address 200.50.50.11 255.255.255.0
Router_A(config-if)#no shutdown
Router_A(config)#router rip сконфигурировать таблицы маршрутизации
RIP во всех роутерах
Router_A(config-router)#network 192.168.10.0
Router_A(config-router)#network 200.50.50.0
Router_C#show ip route
Router_A(config)#access-list 10 permit 192.168.20.11
список доступа 10
Router_A(config)#int f0/0 разрешить ПК 192.168.20.11 доступ в сеть 1
Router_A(config-if)#ip access-group 10 out
Router_A(config-if)#exit
Router_C(config)#access-list 11 deny host 192.168.20.11
список доступа 11
Router_C(config)#access-list 11 permit any запретить ПК
192.168.20.11 доступ в сеть 3
Router_C(config)#int f0/0
Router_C(config-if)#ip access-group 11 out
Списки доступа проверить пингами
|
|