VPN връзки от шлюз към шлюз

Длъжност: VPN връзки от шлюз към шлюз

Категория: Практическа работа

Предметна област: Информатика, кибернетика и програмиране

Описание: Задача: свързване на отдалечени локални мрежи в единна корпоративна мрежа с използване на Интернет като глобална мрежова технология. Офисната мрежа на компанията е свързана с рутера на интернет доставчика чрез локална мрежа.

Дата на добавяне: 2014-10-07

Размер на файла: 1.62 MB

Работата е изтеглена от: 17 души.

Помислете за трети случай на използване на VPN: връзки от шлюз към шлюз. Задача: свързване на отдалечени локални мрежи в единна корпоративна мрежа, използвайки Интернет като глобална мрежова технология. В този случай е необходимо да използвате рутер като сървър за отдалечен достъп, докато рутерът ще действа и като VPN клиент за отдалечен достъп.

Пример, демонстриращ използването на VPN от шлюз до шлюз:

мрежа

Ако платформи с Windows Server се използват като рутери, тогава конфигурацията изглежда така.

За обслужващ клон рутер 1:

Активирайте възможността за работа с интерфейси за повикване при поискване

интерфейс

Ние създаваме интерфейс за повикване при поискване.

шлюз

Когато избирате вида на интерфейса, който ще бъде създаден, посочете VPN.

шлюз

връзки

шлюз

шлюз

Ние описваме маршрута до частната мрежа на Клон 2 чрез интерфейса за набиране по заявка.

като

като

Посочете акаунта за свързване към отдалечения шлюз 11.0.0.1

мрежа

След като се създаде интерфейс за набиране по заявка, се определя времето на неактивност преди прекъсване на връзката. В случай на използване на този интерфейс за комбиниране на две частни мрежи, ние ще изберем стойността„Никога“ – т.е. постоянна връзка с всяка дейност по свързване.

шлюз

Ако мрежите ще обменят трафик за достъп до споделените ресурси на сървъри и работни станции, работещи с MS Windows, тогава ние посочваме използването на подходящия протокол

връзки

В свойствата на портовете за отдалечен достъп ние определяме възможността за приемане на входящи връзки и възможността за участие в създаването на изходящи повиквания при поискване

интерфейс

Тази настройка е направена така, че отдалеченият шлюз да може да се свързва с конфигурирания шлюз на същите портове, които потенциално могат да се използват за създаване на изходяща връзка.

В резултат на това статичен маршрут на формата

шлюз

интерфейс

Таблицата за маршрутизиране изглежда така

връзки

И ето как изглежда таблицата за маршрутизиране след свързване към отдалечен рутер. Адресите на PPP интерфейса изглежда са издадени от APIPA. Адрес на интерфейс, свързан към вътрешната мрежа 10.1.12.1/16

интерфейс

шлюз

връзки

Взаимодействието с отдалечена мрежа се осъществява чрез VPN интерфейса на шлюза, както се вижда от резултатите от изпълнението на командите ping и tracert

шлюз

като

Подобни настройки се правят на отдалечения рутер, обслужващ Клон 2. Описаният метод за създаване на криптиран тунел между отдалечени офиси използва така наречената симетрична настройка, т.е. интерфейс за набиране по заявка е конфигуриран на всеки от рутерите и именно този интерфейс се използва за изпращане на пакети към отдалечената клонова мрежа.

Има друг метод за създаване на VPN тунел, докато моделът на взаимодействие е както следва

мрежа

Тези. в настройките на такъв тунел се появява асиметрия.Един от рутерите, действащ като клиент, е инициатор на връзката, вторият рутер приема връзката на един от своите портове и използва този порт, за да изпраща пакети към отдалечената клонова мрежа. По този начин при асиметрична настройка има само един интерфейс за набиране при поискване и този интерфейс е конфигуриран на клиентския рутер. Конфигурацията на клиентския рутер е същата като конфигурацията на интерфейса за набиране при поискване, обсъден по-горе. Подробностите за конфигурацията се отнасят до рутера, който получава входяща VPN връзка (сървър рутер) и използва тази връзка за изпращане на пакети към отдалечената клонова мрежа.

Ако сървърният рутер работи с Windows Server, неговата конфигурация е както следва:

Добавяне на "Вътрешен" интерфейс към интерфейсите за маршрутизиране

шлюз

Записваме маршрута през интерфейса "Вътрешен"

192.168.1.0 отдалечена клонова мрежа

255.255.255.0 мрежова маска на отдалечен клон

Име на "вътрешен" интерфейс

Таблицата за маршрутизиране изглежда така

мрежа

В резултат на това след свързване на клиентския рутер ще бъде възможно да се прехвърлят пакети към мрежата на отдалечения клон 192.168.1.0/24, като за това ще се използва интерфейсът "Вътрешен", т.е. чрез интерфейса на операционната система пакетите ще пристигнат на входа на VPN тунела и след това, както в предишния случай, ще бъдат препратени към мрежата на отдалечения клон в криптирана форма.

шлюз

Нека анализираме необходимите настройки на всеки от участниците в схемата.

За PC 2 конфигурирайте интерфейса, например 10.0.0.2/8 gateway 10.0.0.1.

За R 2 ние конфигурираме интерфейси, 11.0.0.1/8 на R 1 и 12.0.0.2/8 на R 3. Включетемаршрутизиране, запишете маршрута към мрежата 13.0.0.0/8 и 15.0.0.0/8 през шлюза 12.0.0.1.

За R 3 конфигурираме интерфейсите, 12.0.0.1/8 на R 2 и 13.0.0.2/8 на R 4. Включете маршрутизирането, напишете маршрута към мрежата 11.0.0.0/8 през шлюза 12.0.0.2. Хостът в Интернет е свързан чрез интерфейс 15.0.0.1.

За PC1 свързваме модема, създаваме връзка към доставчика на R 4 (тази връзка се използва като маршрут по подразбиране) и VPN връзка към офис сървъра 11.0.0.2. В свойствата на VPN връзката допълнително посочете Не използвайте интерфейса на тази връзка като маршрут по подразбиране.

интерфейс

[10.1.0.1; 10.1.0.100]  10.0.0.0/8

Задание за самостоятелна работа.

В допълнение към конфигурационния скрипт, прикачете заснетия мрежов трафик на следните взаимодействия към отчета за операцията:

Нека има някакъв доставчик на интернет услуги, който свързва потребителите чрез локална мрежа в рамките на същия градски район. Потребителите могат да имат достъп до интернет през рутера на доставчика, но техният трафик с интернет възли не е защитен от слушане от анализатор на протоколи, стартиран от съсед в локалната мрежа, и комутаторите в този случай не решават проблема. За да защити своите потребители, ISP предлага следното решение: потребителите на локалната мрежа първо се обаждат на VPN сървъра на доставчика и едва след това получават достъп до интернет ресурси. В този случай трафикът в локалната мрежа е криптиран и рутерът на доставчика го изпраща до възлите в Интернет, разбира се, в чист вид.

мрежа

Задължително: Разрешете обмена на пакети между хост в мрежата на ISP и хост, симулиращ компютър в Интернет. В същото време прихващането на трафик, извършван на съседен компютър, трябва да бъде невъзможно.(трафикът е криптиран), докато трафикът, пристигащ към хост, имитиращ интернет хост, от друга страна, не е криптиран.

шлюз

Една от характеристиките на тази задача е, че рутерите в офисите на компанията не са симетрични: единият от тях е VPN сървър, а другият е VPN клиент

Задача 3. Условието е същото като в Задача 2, но и двата рутера трябва да бъдат конфигурирани по такъв начин, че маршрутът до мрежата на отдалечения офис да минава през интерфейса за набиране по заявка, което е по-удобно от използването на вътрешния интерфейс. Тези. симетрична конфигурация на рутери.