
- •Виртуальные частные сети (vpn) на основе протокола туннелирования рртр
- •Оглавление
- •1.2. Протокол ppp канального уровня
- •1.2.1. Формат кадра протокола ppp
- •1.2.2. Особенности передачи ррр-кадров на физическом уровне
- •1.2.3. Принципы организации протокола ррр
- •1.2.4. Протокол управления соединением lcp
- •1.2.5. Аутентификация партнеров
- •1.2.6. Протокол управления шифрованием данных ррр-соединения
- •1.2.7. Ipcp – протокол управления инкапсуляцией ip-пакетов
- •1.3. Конфигурации сетей удаленного доступа
- •1.3.1. Схемы взаимодействия “клиент–сеть”
- •1.3.2. Схемы взаимодействия “сеть–сеть”
- •1.4. Туннелирование и криптография – базовые принципы организации виртуальных частных сетей
- •Ip ip ip ip
- •Ip ip ip ip
- •1.5. Протокол общей инкапсуляции gre
- •1.6. Протокол туннелирования рртр
- •1.7. Средства построения сетей vpn
- •1.8. Схемы сетей vpn с протоколом рртр на основе ос Windows Server 2003/xp
- •2. Задачи конфигурирования и испытания типовых vpn под ос Windows Server 2003/xp
- •Задача 1. Vpn “клиент – сеть” на основе телефонной сети общего пользования и каналов Internet
- •Задача 2. Vpn “клиент – сеть” на основе внутренних каналов корпоративной сети
- •Задача 3. Vpn “сеть – сеть” на основе каналов Internet
- •Библиографический список
- •Виртуальные частные сети (vpn) на основе протокола туннелирования рртр
Министерство образования и науки Российской Федерации Уральский федеральный университет
имени первого Президента России Б.Н. Ельцина
Виртуальные частные сети (vpn) на основе протокола туннелирования рртр
Методические указания к лабораторной работе по курсу
“Cетевые технологии” для студентов всех форм обучения
специальности 220200 – Автоматизированные системы
обработки информации управления
Екатеринбург
УрФУ
2010
УДК 681.3
Составитель В.А. Губин
Научный редактор доц., канд. техн. наук В.Н. Круглов
ВИРТУАЛЬНЫЕ ЧАСТНЫЕ СЕТИ (VPN) НА ОСНОВЕ ПРОТО- КОЛА ТУННЕЛИРОВАНИЯ РРТР : методические указания к лабо-раторной работе по курсу “Cетевые технологии” / сост. В.А. Губин. Екатеринбург: УрФУ, 2010. 51 с.
В методических указаниях приведены основные сведения о работе аппаратных и программных средств удаленного доступа к ресурсам глобальных сетей, в том числе показаны способы организации защи-щенных виртуальных частных сетей на основе протокола туннелиро-вания РРТР в рамках операционных систем Windows Server 2003/XP. Для закрепления материала предлагаются три типовых задачи орга-низации VPN.
Библиогр.: 11 назв. Рис. 18.
Подготовлено кафедрой “Автоматизированные системы управления”
© УрФУ, 2010
Оглавление
1. Введение в технологию виртуальных частных сетей (VPN) ................................................... 5
1.1. Удаленный доступ в корпоративных сетях ............... 5
1.2. Протокол РРР канального уровня ............................... 8
1.2.1. Формат кадра протокола PPP ......................................... 8
1.2.2. Особенности передачи РРР-кадров
на физическом уровне .................................................... 9
1.2.3. Принципы организации протокола РРР ......................... 10
1.2.4. Протокол управления соединением LCP ........................ 11
1.2.5. Аутентификация партнеров .......................................... 11
1.2.6. Протокол управления шифрованием данных
РРР-соединения ........................................................... 14
1.2.7. IPCP – протокол управления
инкапсуляцией IP-пакетов ............................................. 15
1.3. Конфигурации сетей удаленного доступа ............... 16
1.3.1. Схемы взаимодействия “клиент – сеть” ........................ 16
1.3.2. Схемы взаимодействия “сеть – сеть” ............................ 19
1.4. Туннелирование и криптография – базовые
принципы организации виртуальных
частных сетей ................................................................ 21
1.5. Протокол общей инкапсуляции GRE ........................ 24
1.6. Протокол туннелирования РРТР ......……………….. 25
1.7. Средства построения сетей VPN ......………………. 26
1.8. Схемы сетей VPN с протоколом РРТР на основе ОС Windows Server 2003/XP ..................... 28
2. Задачи конфигурирования и испытания типовых VPN под ОС Windows Server 2003/XP ..... 31
Задача 1. VPN “клиент – сеть” на основе телефонной сети общего пользования и каналов Internet .… 31
Задача 2. VPN “клиент – сеть” на основе внутренних каналов корпоративной сети ...…… 41
Задача 3. VPN “сеть – сеть” на основе каналов Internet ... 43
Библиогрфический список ……......………………... 50
1. Введение в технологию виртуальных частных сетей (VPN)
Виртуальные частные сети (Virtual Private Networks, VPN) явля-ются разновидностью сетей удаленного доступа, поэтому перед рассмотрением VPN сначала остановимся на методах и средствах удаленного доступа.
1.1. Удаленный доступ в корпоративных сетях
Некоторым пользователям корпоративной сети, например администраторам, надомным сотрудникам, мобильным клиентам, иногда необходим доступ к ресурсам сети, когда они находятся за физическими границами этой сети. Таких пользователей называют удаленными пользователями, а метод получения доступа к ресурсам сети – удаленным доступом (Remote Access) [1]. Рассматривая разные аспекты удаленного доступа, можно придти к двум основным видам его организации:
1) взаимодействие удаленный клиент – корпоративная сеть (“клиент–сеть”);
2) взаимодействие удаленная сеть 1 – удаленная сеть 2 (“сеть– сеть”).
Расстояние между субъектами не ограничено, и оба вида взаимо-действия должны базироваться на глобальных каналах связи и гло-бальных сетях.
В схеме “клиент–сеть” удаленное соединение устанавливается, как правило, по инициативе удаленных клиентов, поэтому данную схему можно назвать асимметричной. Для доступа каждого клиента к сети используется индивидуальное постоянное или коммутируемое (Dial-up Connection) соединение.
Во второй схеме – инициировать соединение между удаленными сетями может пользователь любой сети (схема симметричного взаи-модействия). По каналу “сеть–сеть” здесь передается трафик однов-ременно многих пользователей (режим мультиплексирования), поэто-му сети должны быть связаны скоростным выделенным (Dedicated) или арендуемым (Leased-Line) каналом. При небольшом межсетевом трафике допустим и коммутируемый канал. Пример: соединение фи-лиала корпоративной сети с центральным офисом.
Для глобальных сетей удаленного доступа, в отличие от локаль-ных сетей, определяющими являются следующие взаимосвязанные требования:
● необходимое качество удаленного соединения – прежде всего скорость передачи, задержки в канале, время подготовки канала к работе, устойчивость связи и т.д.;
● безопасность соединения – безопасная аутентификация парт-неров по связи, безопасная передача данных по глобальным каналам;
● стоимость соединения.
Удаленные соединения “клиент–сеть” или “сеть–сеть” можно ор-ганизовать, если на первом и втором уровне модели OSI использовать протоколы глобальных сетей. К таким протоколам относятся, прежде всего, следующие два протокола канального уровня:
● SLIP (Serial Line Internet Protocol) – протокол передачи IP-паке- тов по последовательной линии связи;
● PPP (Point-to-Point Protocol) – универсальный протокол “точка – точка” передачи любых пакетов сетевого уровня.
Промышленный протокол SLIP разработан давно и поддерживает только одну функцию – транспортировку IP-пакетов по двухточечно-му соединению [3]. В настоящее время его вытесняет более совер-шенный протокол PPP, который дополнительно поддерживает функции безопасности соединения, обнаружения ошибок и др. Более подробно протокол PPP описан в следующем разделе.
Для доставки IP-пакетов из РРР-сетей в корпоративную сеть и обратно необходимо связать эти сети маршрутизатором (рис. 1).
Рис. 1. Доступ удаленных клиентов к корпоративной сети
На концах каналов дальней связи должны быть установлены адапте-ры последовательной передачи, например СОМ-порты, с поддержкой протокола РРР. Адаптерам назначаются IP-адреса. Конфигурирова-ние удаленных хостов целесообразно автоматизировать, поручив эту работу серверу DHCP (Dynamic Host Configuration Protocol). Сервер DHCP может находиться в корпоративной сети или непосредственно на маршрутизаторе удаленного доступа.
В результате удаленные пользователи будут работать с ресурсами сети так же, как если бы они находились непосредственно внутри этой локальной сети. Отличие, правда, будет в скорости удаленного доступа, которая определяется пропускной способностью используе-мых каналов связи.
Маршрутизатор удаленного доступа принято называть сервером удаленного доступа (Remote Access Server, RAS), так как кроме маршрутизации он решает задачи обслуживания многочисленных РРР-соединений, аутентификации удаленных пользователей и др.
Удаленные пользователи взаимодействуют с корпоративной сетью посредством сервера RAS. Они – инициаторы РРР-соединения с RAS, будем называть их клиентами RAS.
В структуре операционных систем Windows Server 2003/XP спе-циально предусмотрена служба удаленного доступа (Remote Access Service, RAS), предоставляющая необходимые и удобные средства конфигурирования сервера RAS и клиентов RAS [2]. Сервер RAS поддерживает:
● до 256 портов сетевых соединений “точка-точка” (порты WAN, Wide Area Networks);
● порты локальных сетевых соединений (порты LAN, Local Area Networks);
● протокол канального уровня РРР для WAN- портов;
● функции маршрутизатора;
● функции сервера DHCP;
● аутентификацию и авторизацию удаленных клиентов, проверяя право пользователя на подключение к корпоративной сети;
● другие средства защиты (обратный вызов, разрешенные день и время доступа и т.д.).
По умолчанию сервер RAS имеет два встроенных WAN-порта с интерфейсом RS-232C для асинхронной последовательной передачи (СОМ-порты) и LAN-порт Ethernet. Под Windows Server 2003 сервер RAS настраивается с помощью многофункциональной оснастки Служба маршрутизации и удаленного доступа (Routing and Remote Access Service).
Клиенты RAS настраиваются под Windows Server 2003/XP из окна Сетевые соединения (Network Connection) выбором Создать сое-динение (New Connection). Можно сконфигурировать WAN-соедине-ние по протоколу РРР или SLIP.