Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4607 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Донецкий национальный университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Л.р.-6.doc
Скачиваний:
3
Добавлен:
01.05.2019
Размер:
311.81 Кб
Скачать
►Содержание►

Настройка сервиса виртуальной частной сети (vpn)

Служба маршрутизации и удаленного доступа системы Windows 2000 Server предоставляет службы виртуальных частных сетей (VPN) для создания подключений удаленного доступа и подключений между маршрутизаторами с использованием протокола PPTP или L2TP.

Порты VPN используют для настройки протоколов аутентификации, выделения IP-адресов и т.д. абсолютно такие же свойства сервера, какие используют клиенты сервиса Dial-in. Рассмотрим только настройки, относящиеся исключительно к портам VPN.

Вы, возможно, заметили, что по умолчанию автоматически создается 10 портов VPN, когда запускается служба RRAS, включая 5 РРТР и 5 L2ТР портов для протоколов туннелирования по умолчанию. Добавим некоторые дополнительные теоретические сведения об использовании протоколов туннелирования.

Как было сказано выше, сетевая технология PPTP дает возможность организовывать виртуальные корпоративные сети путем безопасного соединения локальных сетей через Internet. Для защиты канала PPTP использует алгоритмы шифрования PAP (Password Authentication Protocol) и CHAP (Challenge Handshake Authentication Protocol).

Из каких соображений выбирается использование протокола РРТР вместо L2TP или наоборот?

Обычно это диктуется требуемым уровнем безопасности, а также механизмами безопасности, которые поддерживает ваша сеть. Например, РРТР поддерживает аутентификацию только на клиентском уровне, что означает, что любое соединение, использующее РРТР и предоставившее правильную комбинацию имя пользователя/пароль будет разрешено. Напротив, L2РТ требует 2 уровня аутентификации - сначала устанавливается подлинность машины (через сертификат машины, который требуется предустановить либо через групповую политику, либо при помощи службы сертификации) и затем аутентифицируется пользователь при помощи РРР. Это позволяет обеспечить более высокий уровень безопасности, так как должны быть подтверждена подлинность не только пользователя, но и машины. Недостатком этого являются дополнительные усилия по использованию L2PT, а так же тот факт, что только системы Windows 2000 могут использовать L2PT.

Для конфигурации серверов VPN следует четко представлять понятие туннеля.

Туннели в общем случае существуют в двух видах: принудительном (или обязательном) или произвольном (не обязательном). Категория принудительных туннелей делится на два класса: статические и динамические. Статические туннели можно, в свою очередь, разделить на автоматические, и базируемые на сферах.

Произвольные туннели создаются пользователями, и конечная точка туннеля располагается на компьютере пользователя. При произвольном туннелировании можно открыть защищенный канал через Internet и одновременно использовать обычный протокол TCP/IP для доступа к ресурсам Internet. Например, Alex может подключиться через туннель к интрасети своей компании и при этом получать новости телеконференций с сервера NNTP.

Принудительные туннели создаются без участия, а, порой, - более того - без уведомления пользователя. Конечная точка туннеля со стороны клиента располагается на сервере удаленного доступа. Весь трафик с клиентских станций переправляется в туннель сервером RAS. При этом клиент может получить доступ к ресурсам за пределами корпоративной интрасети, но лишь под контролем администраторов сети.

Таким образом, принудительные туннели позволяют осуществлять контроль за доступом. Однако эффективная полоса пропускания принудительных туннелей уже, чем произвольных. Это связано с тем, что по одному туннелю одновременно может быть установлено несколько каналов связи.

При произвольном туннелировании каждый пользователь имеет свой собственный отдельный канал, а при принудительном - оба клиента используют один и тот же канал.

Для конфигурирования статических туннелей требуется либо специализированное оборудование (автоматические туннели), либо ручная настройка (туннели, основанные на областях (сферах)). При автоматическом туннелировании для передачи графика используется существующая инфраструктура Internet, но могут потребоваться выделенные линии и оборудование для сетевого доступа, что повышает расходы.

При туннелировании, основанном на сферах, сервер удаленного доступа определяет направление передачи данных пользователя в зависимости от части его имени (называемого сферой). Например, конечная точка туннеля для пользователей из сферы entcrpri.ru будет отличаться от конечной точки для пользователей из сферы corporat.ru.

Достоинство туннелирования по сферам - простота реализации, а недостаток - сложность перенастройки. Да и не всегда требуется, чтобы у всех пользователей из одной сферы была единая конечная точка.

Динамические туннели обеспечивают наивысшую гибкость из всех схем туннелирования за счет того, что туннель выбирается отдельно для каждого пользователя в момент его подключения к серверу удаленного доступа. Пользователи, принадлежащие к одной сфере, могут направляться в различные туннели в зависимости от их имени, принадлежности к тому или иному отделу, положению сервера RAS и т. п.

Динамическое туннелирование практически не требует настройки и может управляться с центрального узла. Обратная сторона медали - необходимость получать данные для конфигурирования сеанса "на лету".

Как создаются туннели с помощью службы маршрутизации и удаленного доступа в Windows 2000, мы увидим немного позже.

Пойдем далее и рассмотрим настройки Агенты ретрансляции DHCP для локального сервера.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности