Применение в правилах ключевого слова icmp

Синтаксис команды ввода данного правила:

access-list номер ACL deny | permit icmp адр.шаблон отправ. адр.шаблон получат. [icmp-тип|icmp-сообщение]

Здесь:

icmp-тип – числовой код (0-255) сообщения протоколаicmp;

icmp-сообщение– имя сообщения протоколаicmp.

Существует более 50 различных сообщений протокола icmp, из которых часто используются два сообщения, связанных с применением утилитыping. Их имена и коды:

echo (8) – ping-запрос; echo-reply (0) – ping-ответ.

Пример 6. В примере 3 трафик протоколаicmpна интерфейсеe0полностью блокируется. ДополнитьACL103 командой для возможности посылки пакетовpingиз подсети 192.168.5.0 в подсеть 192.168.1.0. Возможное решение задачи:

access-list 106 permit tcp any any established

access-list 106 permit icmp any any echo-reply

interface ethernet e0

ip access-group 106 in

Лекция 14. Виртуальные частные сети VPN на базе протокола туннелирования РРТР: удаленный доступ в корпоративных сетях, протокол РРР, RAS-серверы и RAS-клиенты, конфигурации сетей удаленного доступа

Виртуальные частные сети (VPN) являются разновидностью сетей удаленного доступа, поэтому перед рассмотрениемVPNсначала остановимся на методах и средствах удаленного доступа.

Удаленный доступ в корпоративных сетях

Некоторым пользователям корпоративной сети, например администраторам, надомным сотрудникам, мобильным клиентам, иногда необходим доступ к ресурсам сети когда они находятся за физическими границами этой сети. Таких пользователей называют удаленными пользователями, а метод получения доступа к ресурсам сети –удаленным доступом(RemoteAccess). Рассматривая разные аспекты удаленного доступа, можно придти к двум основным видам его организации:

1) взаимодействиеудаленный клиент – корпоративная сеть (“клиент–сеть”);

2) взаимодействиеудаленная сеть 1 – удаленная сеть 2(“сеть–сеть”).

Расстояние между субъектами не ограничено и оба вида взаимодействия должны базироваться на глобальных каналах связи и глобальных сетях.

В схеме “клиент–сеть” удаленное соединение устанавливается, как правило, по

инициативе удаленных клиентов, поэтому данную схему можно назвать асимметричной. Для доступа каждого клиента к сети используется индивидуальное постоянное или коммутируемое соединение (Dial-upConnection).

Во второй схеме – инициировать соединение между удаленными сетями может пользователь любой сети (схема симметричного взаимодействия). По каналу “сеть–сеть” здесь передается трафик одновременно многих пользователей (режим мультиплексирования), поэтому сети должны быть связаны скоростным выделенным (Dedicated) или арендуемым (Leased-Line) каналом. При небольшом межсетевом трафике допустим и коммутируемый канал. Пример: соединение филиала корпоративной сети с центральным офисом.

Для глобальных сетей удаленного доступа, в отличие от локальных сетей, определяющими являются следующие взаимосвязанные требования:

● Необходимое качество удаленного соединения – прежде всего скорость передачи, задержки в канале, время подготовки канала к работе, устойчивость связи и т.д.

● Безопасность соединения – безопасная аутентификация партнеров по связи, безопасная передача данных по глобальным каналам.

● Стоимость соединения.

Удаленные соединения “клиент–сеть” или “сеть–сеть” можно организовать, если на первом и втором уровне модели OSI использоватьпротоколы глобальных сетей.К таким протоколам относятся, прежде всего, следующие двапротокола канального уровня:

● SLIP(SerialLineInternetProtocol) –протокол передачи IP-пакетов по последовательной линии связи;

● PPP(Point-to-PointProtocol) – универсальныйпротокол “точка–точка”передачи любых пакетов сетевого уровня.

Промышленный протоколSLIPразработан давно и поддерживает только одну функцию – транспортировкуIP-пакетов по двухточечному соединению [3]. В настоящее время его вытесняет более совершенный протокол PPP, который дополнительно поддерживает функции безопасности соединения, обнаружения ошибок и др. Более подробнопротокол PPPописан в следующем разделе.

Для доставки IP-пакетов из РРР-сетей в корпоративную сеть и обратно необходимо связать эти сети маршрутизатором (рис.1). На концах каналов дальней связи должны быть

Рис. 1. Доступ удаленных клиентов к корпоративной сети

установлены адаптеры последовательной передачи, например СОМ-порты, с поддержкой протокола РРР. Адаптерам назначаются IP-адреса. Конфигурирование удаленных хостов целесообразно автоматизировать, поручив эту работу серверуDHCP(DynamicHostConfigurationProtocol). СерверDHCPможет находиться в корпоративной сети или непосредственно на маршрутизаторе удаленного доступа.

В результате удаленные пользователи будут работать с ресурсами сети так же, как если бы они находились непосредственно внутри этой локальной сети. Отличие, правда, будет в скорости удаленного доступа, которая определяется пропускной способностью используемых каналов связи.

Маршрутизатор удаленного доступа принято называть сервером удаленного доступа(RemoteAccessServer,RAS), т.к. кроме маршрутизации он решает задачи обслуживания многочисленных РРР-соединений, аутентификации удаленных пользователей и др.

Удаленные пользователи взаимодействуют с корпоративной сетью посредством сервера RAS. Они – инициаторы РРР-соединения сRAS, будем называть ихклиентамиRAS.

В структуре операционных систем WindowsServer2003/XPспециально предусмотрена служба удаленного доступа (RemoteAccessService,RAS), предоставляющая необходимые и удобные средства конфигурирования сервераRASи клиентовRAS[2]. СерверRASподдерживает:

● до 256портов сетевых соединений “точка-точка” (портыWAN,WideAreaNetworks);

● порты локальных сетевых соединений (порты LAN,LocalAreaNetworks);

● протокол канального уровня РРР для WAN- портов;

● функции маршрутизатора;

● функции сервера DHCP;

● аутентификацию и авторизацию удаленных клиентов, проверяя право пользователя на подключение к корпоративной сети;

● другие средства защиты (обратный вызов, разрешенные день и время доступа и т.д.).

По умолчанию сервер RASимеет два встроенныхWAN-порта с интерфейсомRS-232Cдля асинхронной последовательной передачи (СОМ-порты) иLAN-портEthernet. ПодWindowsServer2003 серверRASнастраивается с помощью многофункциональной оснасткиСлужба маршрутизации и удаленного доступа (RoutingandRemoteAccessService).

Клиенты RASнастраиваются подWindowsServer2003/XPиз окнаСетевые соединения(NetworkConnection) выбором п.Создать соединение (NewConnection). Можно сконфигурироватьWAN-соединение по протоколу РРР илиSLIP.