Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Скачиваний:
85
Добавлен:
23.02.2015
Размер:
8.31 Mб
Скачать

Министерство образования и науки Российской Федерации Уральский федеральный университет

имени первого Президента России Б.Н. Ельцина

Виртуальные частные сети (vpn) на основе протокола туннелирования рртр

Методические указания к лабораторной работе по курсу

“Cетевые технологии” для студентов всех форм обучения

специальности 220200 – Автоматизированные системы

обработки информации управления

Екатеринбург

УрФУ

2010

УДК 681.3

Составитель В.А. Губин

Научный редактор доц., канд. техн. наук В.Н. Круглов

ВИРТУАЛЬНЫЕ ЧАСТНЫЕ СЕТИ (VPN) НА ОСНОВЕ ПРОТО- КОЛА ТУННЕЛИРОВАНИЯ РРТР : методические указания к лабо-раторной работе по курсу “Cетевые технологии” / сост. В.А. Губин. Екатеринбург: УрФУ, 2010. 51 с.

В методических указаниях приведены основные сведения о работе аппаратных и программных средств удаленного доступа к ресурсам глобальных сетей, в том числе показаны способы организации защи-щенных виртуальных частных сетей на основе протокола туннелиро-вания РРТР в рамках операционных систем Windows Server 2003/XP. Для закрепления материала предлагаются три типовых задачи орга-низации VPN.

Библиогр.: 11 назв. Рис. 18.

Подготовлено кафедрой “Автоматизированные системы управления”

© УрФУ, 2010

Оглавление

1. Введение в технологию виртуальных частных сетей (VPN) ................................................... 5

1.1. Удаленный доступ в корпоративных сетях ............... 5

1.2. Протокол РРР канального уровня ............................... 8

1.2.1. Формат кадра протокола PPP ......................................... 8

1.2.2. Особенности передачи РРР-кадров

на физическом уровне .................................................... 9

1.2.3. Принципы организации протокола РРР ......................... 10

1.2.4. Протокол управления соединением LCP ........................ 11

1.2.5. Аутентификация партнеров .......................................... 11

1.2.6. Протокол управления шифрованием данных

РРР-соединения ........................................................... 14

1.2.7. IPCP – протокол управления

инкапсуляцией IP-пакетов ............................................. 15

1.3. Конфигурации сетей удаленного доступа ............... 16

1.3.1. Схемы взаимодействия “клиент сеть” ........................ 16

1.3.2. Схемы взаимодействия “сеть сеть” ............................ 19

1.4. Туннелирование и криптография – базовые

принципы организации виртуальных

частных сетей ................................................................ 21

1.5. Протокол общей инкапсуляции GRE ........................ 24

1.6. Протокол туннелирования РРТР ......……………….. 25

1.7. Средства построения сетей VPN ......………………. 26

1.8. Схемы сетей VPN с протоколом РРТР на основе ОС Windows Server 2003/XP ..................... 28

2. Задачи конфигурирования и испытания типовых VPN под ОС Windows Server 2003/XP ..... 31

Задача 1. VPN “клиент – сеть” на основе телефонной сети общего пользования и каналов Internet .… 31

Задача 2. VPN “клиент – сеть” на основе внутренних каналов корпоративной сети ...…… 41

Задача 3. VPN “сеть – сеть” на основе каналов Internet ... 43

Библиогрфический список ……......………………... 50

1. Введение в технологию виртуальных частных сетей (VPN)

Виртуальные частные сети (Virtual Private Networks, VPN) явля-ются разновидностью сетей удаленного доступа, поэтому перед рассмотрением VPN сначала остановимся на методах и средствах удаленного доступа.

1.1. Удаленный доступ в корпоративных сетях

Некоторым пользователям корпоративной сети, например администраторам, надомным сотрудникам, мобильным клиентам, иногда необходим доступ к ресурсам сети, когда они находятся за физическими границами этой сети. Таких пользователей называют удаленными пользователями, а метод получения доступа к ресурсам сети – удаленным доступом (Remote Access) [1]. Рассматривая разные аспекты удаленного доступа, можно придти к двум основным видам его организации:

1) взаимодействие удаленный клиент – корпоративная сеть (“клиент–сеть”);

2) взаимодействие удаленная сеть 1 – удаленная сеть 2 (“сеть– сеть”).

Расстояние между субъектами не ограничено, и оба вида взаимо-действия должны базироваться на глобальных каналах связи и гло-бальных сетях.

В схеме “клиент–сеть” удаленное соединение устанавливается, как правило, по инициативе удаленных клиентов, поэтому данную схему можно назвать асимметричной. Для доступа каждого клиента к сети используется индивидуальное постоянное или коммутируемое (Dial-up Connection) соединение.

Во второй схеме – инициировать соединение между удаленными сетями может пользователь любой сети (схема симметричного взаи-модействия). По каналу “сеть–сеть” здесь передается трафик однов-ременно многих пользователей (режим мультиплексирования), поэто-му сети должны быть связаны скоростным выделенным (Dedicated) или арендуемым (Leased-Line) каналом. При небольшом межсетевом трафике допустим и коммутируемый канал. Пример: соединение фи-лиала корпоративной сети с центральным офисом.

Для глобальных сетей удаленного доступа, в отличие от локаль-ных сетей, определяющими являются следующие взаимосвязанные требования:

● необходимое качество удаленного соединения – прежде всего скорость передачи, задержки в канале, время подготовки канала к работе, устойчивость связи и т.д.;

● безопасность соединения – безопасная аутентификация парт-неров по связи, безопасная передача данных по глобальным каналам;

● стоимость соединения.

Удаленные соединения “клиент–сеть” или “сеть–сеть” можно ор-ганизовать, если на первом и втором уровне модели OSI использовать протоколы глобальных сетей. К таким протоколам относятся, прежде всего, следующие два протокола канального уровня:

SLIP (Serial Line Internet Protocol) – протокол передачи IP-паке- тов по последовательной линии связи;

PPP (Point-to-Point Protocol) – универсальный протокол “точка – точка” передачи любых пакетов сетевого уровня.

Промышленный протокол SLIP разработан давно и поддерживает только одну функцию – транспортировку IP-пакетов по двухточечно-му соединению [3]. В настоящее время его вытесняет более совер-шенный протокол PPP, который дополнительно поддерживает функции безопасности соединения, обнаружения ошибок и др. Более подробно протокол PPP описан в следующем разделе.

Для доставки IP-пакетов из РРР-сетей в корпоративную сеть и обратно необходимо связать эти сети маршрутизатором (рис. 1).

Рис. 1. Доступ удаленных клиентов к корпоративной сети

На концах каналов дальней связи должны быть установлены адапте-ры последовательной передачи, например СОМ-порты, с поддержкой протокола РРР. Адаптерам назначаются IP-адреса. Конфигурирова-ние удаленных хостов целесообразно автоматизировать, поручив эту работу серверу DHCP (Dynamic Host Configuration Protocol). Сервер DHCP может находиться в корпоративной сети или непосредственно на маршрутизаторе удаленного доступа.

В результате удаленные пользователи будут работать с ресурсами сети так же, как если бы они находились непосредственно внутри этой локальной сети. Отличие, правда, будет в скорости удаленного доступа, которая определяется пропускной способностью используе-мых каналов связи.

Маршрутизатор удаленного доступа принято называть сервером удаленного доступа (Remote Access Server, RAS), так как кроме маршрутизации он решает задачи обслуживания многочисленных РРР-соединений, аутентификации удаленных пользователей и др.

Удаленные пользователи взаимодействуют с корпоративной сетью посредством сервера RAS. Они – инициаторы РРР-соединения с RAS, будем называть их клиентами RAS.

В структуре операционных систем Windows Server 2003/XP спе-циально предусмотрена служба удаленного доступа (Remote Access Service, RAS), предоставляющая необходимые и удобные средства конфигурирования сервера RAS и клиентов RAS [2]. Сервер RAS поддерживает:

● до 256 портов сетевых соединений “точка-точка” (порты WAN, Wide Area Networks);

● порты локальных сетевых соединений (порты LAN, Local Area Networks);

● протокол канального уровня РРР для WAN- портов;

● функции маршрутизатора;

● функции сервера DHCP;

● аутентификацию и авторизацию удаленных клиентов, проверяя право пользователя на подключение к корпоративной сети;

● другие средства защиты (обратный вызов, разрешенные день и время доступа и т.д.).

По умолчанию сервер RAS имеет два встроенных WAN-порта с интерфейсом RS-232C для асинхронной последовательной передачи (СОМ-порты) и LAN-порт Ethernet. Под Windows Server 2003 сервер RAS настраивается с помощью многофункциональной оснастки Служба маршрутизации и удаленного доступа (Routing and Remote Access Service).

Клиенты RAS настраиваются под Windows Server 2003/XP из окна Сетевые соединения (Network Connection) выбором Создать сое-динение (New Connection). Можно сконфигурировать WAN-соедине-ние по протоколу РРР или SLIP.

Соседние файлы в папке Сетевые технологии