- •Федеральное агентство по образованию
- •XDsl, рабочие частоты и расстояния ……………...…….……… 37
- •Основная литература
- •Лекция 1.Служба dhcp Windows 2003 Основные понятия
- •Установка и настройка сервера dhcp
- •Дополнительная литература
- •Лекция 2.Протокол tcp. Структура tcp-сегмента
- •Лекция 3. Протокол tcp. Схема взаимодействия партнеров tcp-соединения Этапы tcp-взаимодействия
- •Таймеры протокола тср
- •Активные подключения Имя Локальный адрес Внешний адрес Состояние
- •Лекция 4. Протокол udp
- •Формат udp-пакета
- •Применение протокола
- •Лекция 5. Программный интерфейс сокетов
- •Лекция 6. Web-серверы на основе iis Windows 2003 Основные понятия
- •Настройка Web-сервера для работы в сети
- •Стандартные протоколы и радиочастоты wlan
- •Ieee 802.11a-1999│ 54 Мбит/с │ 5 гГц
- •Ieee 802.11b-1999│ 11 Мбит/с │ 2,4 гГц
- •Ieee 802.11g-2003│ 54 Мбит/с │ 2,4 гГц
- •Топологии сетей wlan
- •Некоторые сведения о работе адаптеров wlan на физическом уровне
- •1* │ Код Баркера │ dbpsk │ Код Баркера │ dbpsk
- •2* │ Код Баркера │ dqpsk │ Код Баркера │ dqpsk
- •Дополнительная литература к лекциям 7- 9
- •Словарь терминов к лекциям 7- 9
- •Работа адаптеров wlan на канальном уровне
- •2 2 6 6 6 2 6 До 2312 байт 4
- •Скорость передачи данных в сети wlan
- •Присоединение станций к сети wlan
- •Безопасность wlan
- •30 │ До 2312 байт │ 4
- •Принципы работы, протоколы, скорости xDsl
- •Кодирование сигналов в линиях xDsl, рабочие частоты и расстояния
- •Дополнительная литература к лекциям 10 - 11
- •Словарь терминов к лекциям 10-11
- •Типовое оборудование xDsl
- •Основные схемы применения технологии xDsl
- •Введение в технологию acl
- •Стандартные списки доступа
- •Ip access-group номер acl in | out
- •Просмотр и редактирование acl
- •Дополнительная литература к лекциям 12 - 13
- •Расширенные списки доступа
- •Применение в правилах ключевого слова tcp
- •Применение в правилах ключевого слова udp
- •Применение в правилах ключевого слова icmp
- •Удаленный доступ в корпоративных сетях
- •Протокол ppp канального уровня
- •Формат кадра протокола ppp
- •Особенности передачи ррр-кадров на физическом уровне
- •Принципы организации протокола ррр
- •Протокол управления соединенением lcp
- •Аутентификация партнеров
- •Протокол управления шифрованием данных ррр-соединения
- •Ipcp - протокол управления инкапсуляцией ip-пакетов
- •Конфигурации сетей удаленного доступа
- •Схемы взаимодействия “клиент–сеть”
- •Схемы взаимодействия “сеть–сеть”
- •Дополнительная литература к лекциям 14 - 16
- •3. Технология adsl скоростного доступа к глобальным сетям по телефонным
- •Туннелирование и криптография – базовые принципы организации виртуальных частных сетей
- •Протокол общей инкапсуляции gre
- •Протокол туннелирования рртр
- •Средства построения сетей vpn
- •Схемы сетей vpn с протоколом рртр на основе ос
- •Дополнительная литература к лекции 17
Протокол общей инкапсуляции gre
Для туннелирования кадров РРР в IP-пакеты протокол РРТР использует обновленную версию протоколаGRE (GenericRoutingEncapsulation, v2).GRE– это протокол общей инкапсуляции для маршрутизации(RFC1701,RFC2637). Он достаточно часто применяется вInternetпри инкапсуляции на сетевом уровне одних протоколов в другие.
Пакет GREсостоит из кадра РРР, к которому добавляется заголовокGRE(рис.1). Заголовок (16 байт) содержит 6 полей, из которых последние два поля – опциональные.
Поле 1 (2 байта) – набор указателей наличия опциональных полей и код версии.
Поле 2 (2 байта) – код протокола-пассажира. ДляIPэто код880Вh.
Поле 3 (2 байта) – длина кадра РРР в байтах (без заголовкаGRE), без поляFCS, без флагов и других вставляемых в кадр РРР символов, необходимых при передаче кадра на физическом уровне.
Поле 4 (2 байта) – идентификатор сеанса данной пары VPN-партнеров.
Поле 5 (4 байта) – порядковый номер пакета GREотправителя.
Поле 6 (4 байта) – порядковый номер последнего принятого пакета GRE.
Нумерация пакетов необходима для управления потоком, является средством защиты от пропуска и повторения передачи пакетов. При открытии сеанса нумерация пакетов начинается с нуля.
Для указания того, что в несущий IP-пакет инкапсулирован пакетGRE, в полеПротоколзаголовкаIP-пакета записывается код47 (для справки: код6 – если инкапсулирован ТСР, код17– еслиUDP, код1 – еслиICMPи т.д.).
Протокол туннелирования рртр
Протоколы туннелирования вместе с протоколами шифрования создают в произвольной сети защищенные виртуальные сетевые каналы – соединения VPN. Эти каналы обеспечивают взаимодействующим партнерам безопасную аутентификацию, целостность и конфиденциальность передаваемых данных.
Системные средства поддержки защищенных каналов могут встраиваться в разные уровни эталонной модели OSI– от канального до прикладного. Чем ниже по стеку находятся средства защищенного канала, тем легче их сделать прозрачными для вышележащих протоколов и приложений. С другой стороны, на верхних уровнях проще обеспечить требуемую безопасность передаваемых данных. Наиболее популярны следующие протоколы защищенных каналов.
IPSec (InternetProtocolSecurity) – протокол безопаснойIP-связи (RFC2401 и др.). Набор открытых стандартовсетевогоуровня для безопасной аутентификации пользователей или компьютеров, обеспечения целостности и конфиденциальности передаваемых данных, а также для автоматического снабжения конечных точек защищенного канала секретными ключами аутентификации и шифрования данных.
РРТР (Point-to-PointTunnelingProtocol) – протокол организации защищенного соединенияканальногоуровня (RFC2637). Обеспечивает безопасную взаимную аутентификацию партнеров туннеля и конфиденциальность передаваемых по туннелю данных. Базируется на протоколе РРР.
L2TP(LayerTwoTunnelingProtocol) – протокол организации туннеля наканальном (втором) уровне (RFC2661). Базируется на протоколе РРР, но шифрованием данных не занимается. Работает быстрее, чем РРТР, т.к. для управления туннелем применяется протоколUDP. Обычно используется совместно с протоколом IPSec, который и обеспечивает необходимую безопасность канала. В общем случае для использованияL2TP требуется служба цифровых сертификатов субъектов взаимодействия.
Протокол РРТР является расширением протокола РРР. В своей работе использует еще протоколы GRE(см. выше) иTCP.
Для управления криптозащищенным туннелем взаимодействующие пограничные устройства обмениваются специальными сообщениями. Это сообщения-команды, сообщения -ответы установки, поддержки и разрыва туннеля. Обмен управляющими сообщениями выполняется по ТСР-соединению, устанавливаемому между клиентом и сервером РРТР-туннеля (рис.2). Сообщения помещаются в поле данных протокольного ТСР-сегмента. При создании этого ТСР-соединения на сервере используется логический порт с номером 1723, а наVPN-клиенте – случайный свободный номер порта. Наличие служебного ТСР-соединения сVPN-сервером создает угрозу попадания на сервер непредусмотренного трафика. Для его подавления на интерфейсе А1 устанавлиается фильтр, пропускающий только трафик туннеля (код 47 протоколаGRE), трафик кVPN-серверу только через порт 1723 и от сервера с порта 1723.
Безопасная аутентификация партнеров РРТР-туннеля осуществляется средствами протокола РРР (MS-CHAPv2).
Шифрование данных, передаваемых по РРТР-туннелю, также поддерживается протоколом РРР (шифрование МРРЕ). МРРЕ обеспечивает толькоконфиденциальностьпередаваемых по туннелю данных, но явноне проверяет целостностьполучаемых по туннелю данных. В этом – некоторый недостаток протокола РРТР.
Лекция 16. Виртуальные частные сети VPN на базе протокола туннелирования РРТР: средства построения сетей VPN, сети VPN на основе ОС Windows Server 2003/XP