Первая страница
Наша команда
Контакты
О нас

    Головна сторінка



Застосування технології vpn для побудови корпоративних мереж на обладнанні cisco к т. н. Наталенко П. П.

Скачати 131.16 Kb.

Застосування технології vpn для побудови корпоративних мереж на обладнанні cisco к т. н. Наталенко П. П.




Скачати 131.16 Kb.
Дата конвертації08.05.2017
Розмір131.16 Kb.

ЗАСТОСУВАННЯ ТЕХНОЛОГІЇ VPN ДЛЯ ПОБУДОВИ КОРПОРАТИВНИХ МЕРЕЖ НА ОБЛАДНАННІ CISCO
к.т.н.
Обла́днання (устаткування) (англ. equipment, нім. ausrüstung) f) - сукупність пристроїв, механізмів, приладів, інструментів або конструкцій, що використовуються в певній сфері діяльності, або з певною метою.
Корпоративна мережа - це мережа, головним призначенням якої є підтримка роботи конкретного підприємства, що володіє даною мережею. Користувачами корпоративної мережі є тільки співробітники даного підприємства.
Наталенко П.П. (ІСЗЗІ НТУУ „КПІ”)

Бондаренко Л.О. (ВІТІ НТУУ „КПІ”)



Найбільш поширеним мережевим обладнанням в нашій державі є обладнання компанії Cisco. Незважаючи на те що ОС Cisco IOS підтримує використання технології VPN актуальною є задача уяснити її можливості по застосуванн при плануванні корпоративних мереж.
Планування - це заздалегідь намічений порядок дій, необхідних для досягнення поставленої цілі. Планування - оптимальний розподіл ресурсів для досягнення поставленої мети.
Можливість - це дія, що може відбутися або ні (можливо, приїду, а, можливо, і ні). Можливість можна забезпечити чи покладатись на «авось» та якось буде. Альтернатива дає шанс, але не гарантує без відповідних дій забезпечення результату і адекватності та конструктиву діяльності.
В статті розглянуті конкретні підходи по створенню такої мережі які підкріплені конкретними програмними рішеннями по її реалізації.

Наталенко П.П., Бондаренко Л.А. Применение технологии VPN для построения корпоративных сетей на оборудовании Cisco. В данной статье рассмотрены вопросы применения технологии VPN для построения и программирования корпоративной сети на оборудовании Cisco.

Ключові слова: інформація, корпоративна мережа, трафік, маршрутизація, структирізація.
Сучасна корпоративна мережа повинна надавати набір послуг ( сервісів ), таких як електронна пошта, WWW, IP- телефонія, відео конференція.
Телефо́нний зв'язо́к - галузь зв'язку, електрозв'язку, телекомунікацій; передача на відстань мовної інформації, здійснюваної електричними сигналами телефонною мережею загального користування (ТМЗК) або радіосигналами.
Маршрутиза́ція (англ. Routing) - процес визначення маршруту прямування інформації між мережами. Маршрутизатор (або роутер від англ. router) приймає рішення, що базується на IP-адресі отримувача пакету.
Електро́нна по́шта або е-пошта (англ. e-mail, або email, скорочення від electronic mail) - спосіб обміну цифровими повідомленнями між людьми використовуючи цифрові пристрої, такі як комп'ютери та мобільні телефони, що робить можливим пересилання даних будь-якого змісту (текстові документи, аудіо-, відеофайли, архіви, програми).
Якість виконання транспортних функцій мережею, забеспечуючих роботу цих телекомунікаційних служб, залежить від багатьох факторів і в першу чергу від правильної структирізації мережі, побудованої системи маршрутизації повідомлень в ній. Надійність доставки і затримка повідомлень напряму залежать від структури мережі та системи маршрутизації.
Телекомуніка́ції, також електрозв'язок (англ. Telecommunications) - передавання, випромінювання та/або приймання знаків, сигналів, письмового тексту, зображень та звуків або повідомлень будь-якого роду дротовими, радіо, оптичними або іншими електромагнітними системами.
Наді́йність - властивість технічних об'єктів зберігати у часі в установлених межах значення всіх параметрів, які характеризують здатність виконувати потрібні функції в заданих режимах та умовах застосування, технічного обслуговування, зберігання та транспортування.
Не завжди є можливість змінювати структуру мережі в процесі її експлуатації. Тому актуальною є задача формування ефективної системи структирізації мережі і рішення задач по захисту її функціонування. На рішення цих актуальних задач і направлена стаття.

1. Основні вимоги до корпоративної мережі.

Від прийнятої структури мережі залежить якісне обслуговування всіх видів трафіку, а саме: мови; даних; електронної пошти; відео конференції і т. і.



Особливості передачі різних видів трафіку включають в себе [1]:

– для передачі мовної інформації необхідна передача пакетів з найменшим часом затримки;

– для передачі даних необхідно досягти якомога меншого коефіцієнту помилок;

Корпорат́изм - (пізньолат. corporatio - об'єднання, співтовариство) - система прийняття рішень та представництва інтересів через обмежену кількість жорстко визначених, ієрархічно ранжованих і функціонально диференційованих груп інтересів, що монополізують представництво відповідних сфер суспільного життя за згоди держави в обмін на її участь у підборі лідерів та призначенні керівного складу цих груп, а також у формуванні їхніх вимог.
Коефіціє́нт - характеристика процесу, явища, речовини або поля, яка має відносно сталий характер.
Передача даних (обмін даними, цифрова передача, цифровий зв'язок) - фізичне перенесення даних цифрового (бітового) потоку у вигляді сигналів від точки до точки або від точки до множини точок засобами електрозв'язку каналом зв'язку; як правило, для подальшої обробки засобами обчислювальної техніки.

– для передачі відеоінформації в режимі відео конференції важливі час доставки, а також чітка синхронізація.

Основні вимоги до корпоративної мережі для забеспечення характеристик передачі трафіку зводяться до слідуючого:

1. Мова:

– затримка ≤ 150 мс ( рекомендація ITU-T G.114 );

– розбірливість :

– словесна – 98%;

– складова – 96%.

2. Дані: Середній час доставки

–  0,1–10 с. (сигнали бойового управління);

– 1–10 хв. (інформація, що передається до центрального органу управління);

_ 10 хв.–1год. (інформація, що передається на рівні регіонального органу управління );

Регіо́н (англ. region, нім. Gebiet n, Region f; від лат. regio - царина, царство) - в давнину земля, царство, сьогодні - велика земельна одиниця. У фізичній географії - узагальнена назва одиниць фізико-географічного районування будь-якого таксономічного рангу.

Надійність доставки

–  0,99 – центральної зони корпоративної мережі ;

Центр (давн.-гр. - стрекало, осереддя) - # Середня частина чогось. геом. центр кола (кулі), точка, рівновіддалена від усіх точок кола (поверхні кулі). центр еліпса - точка перетину великої і малої осей його.

–  0,96 – регіональної зони корпоративної мережі ;

–  0,92- місцевої зони корпоративної мережі;

3. Зображення:

– затримка ≤ 100– 125 мс.

Звідси в корпоративній мережі повинно забезпечуватися:

–  10 - 6 ;

–  ;

–  .

Таким чином, ми визначились з основними вимогами, що визначаються структурою мережі та прийнятою системою маршрутизації в корпоративній мережі .

2. Можливості по структирізації мереж.

Структирізація мереж може бути фізичною і логічною.При фізичній структирізації використовують мережеві пристрої наприклад концентратори.

Концентра́тор (багатопортовий повторювач; Hub; від англ. hub) - центр діяльності) - пристрій фізичного рівня, з'єднувальний компонент, до якого підключають усі комп'ютери в мережі за топологією «зірка».
Мереже́ве обла́днання - пристрої, необхідні для роботи комп'ютерної мережі, наприклад: маршрутизатор, комутатор, концентратор, патч-панель та ін. Зазвичай розрізняють активне та пасивне мережеве обладнання.
Концентратори корисні не тільки для збільшення відстанні між взаємодіючими вузлами а і для збільшення надійності мережі. Можливості по фізичній структуризації обмежені.

При логічній структуризації більш широкі можливості і при цьому процес розділення мережі на сегменти здійснюється з локалізацією трафіка.Для логічної структуризації використовують мережеві пристрої: мости, комутатори, маршрутизатори, шлюзи. Практично неможливо побудувати велику мережу без логічної структуризації.В локальних мережах використовується віртуалізація локальних мереж- технологія VLAN.

При́стрій (англ. device, appliance, нім. Vorrichtung f, Einrichtung f) - обладнання, конструктивно завершена технічна система, що має певне функціональне призначення і за допомогою якої виконується яка-небудь робота або спрощується, полегшується певний процес.
Віртуалізація (англ. virtualization) - створення віртуального, тобто штучного, об'єкта чи середовища.
Маршрутиза́тор, або ро́утер (англ. router) - електронний пристрій, що використовується для поєднання двох або більше мереж і керує процесом маршрутизації, тобто на підставі інформації про топологію мережі та певних правил приймає рішення про пересилання пакетів мережевого рівня (рівень 3 моделі OSI) між різними сегментами мережі.
Локалізація (рос. локализация, англ. localization, нім. Lokalisierung f) - обмеження місця дії того чи іншого явища, процесу певними просторовими межами. Наприклад, локалізація загазованої дільниці шахти, локалізація затопленої дільниці (затопленого горизонту), локалізація звалища промислових відходів, хвостосховища тощо.
Техноло́гія (від грец. τεχνολογια, що походить від грец. τεχνολογος; грец. τεχνη - майстерність, техніка; грец. λογος - (тут) передавати) - наука («корпус знань») про способи (набір і послідовність операцій, їх режими) забезпечення потреб людства за допомогою (шляхом застосування) технічних засобів (знарядь праці).

Функціональні можливості сучасних комутаторів відкривають шлях до створення віртуальних локальних мереж для формування гнучкої мережевої інфраструктури. Конфігурування комутаторів для організації VLAN –мереж досить не проста справа яку може виконати адміністратор мережі.

Віртуальною мережею називають групу вузлів мережі, що утворять домен широкомовного трафіку (Broadcast Domain). Це спрощене визначення.

Віртуа́льність (від лат. virtus - потенційний, можливий) - вигаданий, уявний (можливо, для деяких певних цілей) об'єкт, суб'єкт, категорія, ставлення, дія тощо, не присутній в цей час в реальному світі, а створений лише грою уяви людської думки (також див. Фантазія)
Адміністра́тор (іноді скор. - адмін) - це особа, яка здійснює роботу з якісного і ефективного обслуговування відвідувачів, консультує їх із питань, які стосуються товарів і послуг, які надає підприємство, організація.
Озна́чення, ви́значення чи дефіні́ція (від лат. definitio) - роз'яснення чи витлумачення значення (сенсу) терміну чи поняття. Слід зауважити, що означення завжди стосується символів, оскільки тільки символи мають сенс що його покликане роз'яснити означення.
При створенні локальної мережі на основі комутаторів, незважаючи на можливість використання спеціалізованих фільтрів для обмеження трафіку, усі вузли мережі представляють собою єдиний широкооповіщувальний домен(усі вузли приймають широкооповіщувальні кадри).

Віртуальні мережі утворюють групу вузлів мережі, у якій весь трафік, цілком ізольований на канальному рівні від інших вузлів мережі. Особливістю комутаторів CISCO є те що вони не потребують ніякого початкового конфігурування. Комутатори настроюються виробником для роботи і всі інтерфейси включені ( уведена команда no shutdown)і на них встановлене авто погодження характеристик( для кожного порту вказано duplex auto і speed auto ).

Виробни́цтво - процес створення матеріальних і суспільних благ, необхідних для існування і розвитку. Створюючи певні блага люди вступають у зв'язки і взаємодію – виробничі відносини. Тому виробництво є завжди суспільним.
Усі порти комутатору об’єднані в єдину мережу VLAN1.Для того, щоб на комутаторі виділити порти, працюючі в інших VLAN, їх потрібно сконфігурувати.



3. Налаштування VLAN на комутаторах

Як приклад вибрана така топологія, на якій легше пояснити відмінності в налаштуваннях VLAN на комутаторах різних виробників. У відповідних розділах пояснюється як налаштовувати VLAN-и, а також наведено приклад конфігурації для комутатора sw1.



3.1 Налаштування VLAN на комутаторах Cisco під управлінням IOS

1. Термінологія Cisco:



access port - порт належить одному VLAN і передавальний нетегований трафік

trunk port - порт передає тегований трафік одного або декількох VLAN-ів

Комутатори Cisco раніше підтримували два протоколи 802.1Q і ISL. ISL - пропрієтарний протокол використовується в обладнанні Cisco. ISL повністю інкапсулює фрейм для передачі інформації про належність до VLAN-у.

Протоко́л - (фр. protocole, пізньолат. protocollum з пізньогрец. Πρωτόκολλον (Πρώτο+κολλάω) - перший, передній+приклеюю) - перший лист, приклеєний до звитку папіруса чи нотаріального документа, на якому була написана дата.
Те́рмін (від лат. terminus - межа, кордон) - слово або словосполучення, застосоване для позначення деякого поняття.
Комуніка́ція (від лат. communicatio - єдність, передача, з'єднання, повідомлення, пов'язаного з дієсловом лат. communico - роблю спільним, повідомляю, з'єдную, похідним від лат. communis - спільний) - це процес обміну інформацією (фактами, ідеями, поглядами, емоціями тощо) між двома або більше особами, спілкування за допомогою вербальних і невербальних засобів із метою передавання та одержання інформації.

У сучасних моделях комутаторів Cisco ISL не підтримується.

Створення VLAN'а і завдання імені:

sw1 (config) # vlan 2

sw1 (config-vlan) # name test



Рис.1
2. Динамічне створення транків (DTP)

Dynamic Trunk Protocol (DTP) - пропрієтарний протокол Cisco, який доз-воляє комутаторам динамічно розпізнавати чи налаштований сусідній комута-тор для підняття транку і який протокол використовувати (802.1Q або ISL). Включено за замовчуванням.

Режими DTP на інтерфейсі:

1. auto - Режим за замовчуванням. Порт знаходиться в автоматичному режимі і буде переведений у стан trunk, тільки якщо порт на іншому кінці знаходиться в режимі on або desirable. Тобто якщо порти на обох кінцях знаходяться в режимі "auto", то trunk застосовуватися не буде.

2. desirable - Порт знаходиться в режимі "готовий перейти в стан trunk"; періодично передає DTP-кадри порту на іншому кінці, запитуючи віддалений порт перейти в стан trunk (стан trunk буде встановлено, якщо порт на іншому кінці знаходиться в режимі on, desirable, або auto).

Пері́од (грец. περίοδος - кружний шлях, обертання, чергування) може означати: Проміжок часу, протягом якого повторюється якийсь циклічний процес: Період коливання Період обертання Горизонтальний ряд хімічних елементів, розміщених у порядку зростання їх атомних мас, що розпочинається лужним металічним елементом, та закінчується інертним газом.
Автома́тика (грец. αύτόματος - самодіючий) - галузь науки і техніки, яка розробляє технічні засоби і методи для здійснення технологічних процесів без безпосередньої участі людини.
Порт (від лат. portus - сховище, притулок, гавань, гирло) - ділянка берега моря, річки або озера з прилеглою акваторією, захищена від негоди захисними гідротехнічними спорудами, на якій розміщується комплекс будівель та пристроїв для завантаження і розвантаження суден та їх обслуговування.

3. on - Порт постійно знаходиться в стані trunk, навіть якщо порт на іншому кінці не підтримує цей режим.

4. off - Порт не підтримує стан trunk, навіть якщо порт на іншому кінці його підтримує.

5. nonegotiate - Порт готовий перейти в режим trunk, але при цьому не передає DTP-кадри порту на іншому кінці. Цей режим використовується для запобігання конфліктів з іншим "не-cisco" обладнанням. В цьому випадку комутатор на іншому кінці повинен бути вручну налаштований на використання trunk'а.

Перевірити поточний режим DTP:

sw # show dtp interface

3.2 Налаштування маршрутизації між VLAN

Передача трафіку між VLAN-ами за допомогою комутатора Cisco

Всі налаштування за призначенням портів в VLAN, зроблені раніше для sw1, зберігаються. Подальші налаштування мають на увазі використання комутатора 3 рівня.

При такій схемі роботи ніяких додаткових налаштувань на маршрути -заторі не потрібно. Комутатор здійснює маршрутизацію між мережами різних VLAN, а на маршрутизатор відправляє трафік призначений в інші мережі.

Включення маршрутизації на комутаторі:

sw1 (config) # ip routing

Завдання адреси в VLAN. Ця адреса буде маршрутом за замовчуванням для комп'ютерів в VLAN 2:

sw1 (config) # interface Vlan2

sw1 (config-if) # ip address 10.0.2.1 255.255.255.0

sw1 (config-if) # no shutdown

Завдання адреси в VLAN 10:

sw1 (config) # interface Vlan10

sw1 (config-if) # ip address 10.0.10.1 255.255.255.0

sw1 (config-if) # no shutdown

Інтерфейс fa0/10 з'єднаний з маршрутизатором, який є маршрутизатором за замовчуванням для мережі. Трафік не призначений для мереж VLAN-ів буде маршрутизуватись на маршрутизатор R1.

Переклад fa0/10 в режим інтерфейсу 3 рівня і задання адреси:

sw1 (config) # interface FastEthernet 0/10

sw1 (config-if) # no switchport

sw1 (config-if) # ip address 192.168.1.2 255.255.255.0

sw1 (config-if) # no shutdown



Рис. 2.


Конфігурація sw1:

!

ip routing



!

interface FastEthernet0 / 1

switchport mode access

switchport access vlan 2

!

interface FastEthernet0 / 2



switchport mode access

switchport access vlan 2

!

interface FastEthernet0 / 3



switchport mode access

switchport access vlan 15

!

interface FastEthernet0 / 4



switchport mode access

switchport access vlan 10

!

interface FastEthernet0 / 5



switchport mode access

switchport access vlan 10

!

!

interface FastEthernet0/10



no switchport

ip address 192.168.1.2 255.255.255.0

!

!

interface FastEthernet0/22



switchport trunk encapsulation dot1q

switchport mode trunk

!

!

interface Vlan1



no ip address

shutdown


!

interface Vlan2

ip address 10.0.2.1 255.255.255.0

!

interface Vlan10



ip address 10.0.10.1 255.255.255.0

!

interface Vlan15



ip address 10.0.15.1 255.255.255.0

!

!



ip route 0.0.0.0 0.0.0.0 192.168.1.1

!

тут треба уточнити, що сам маршрут прописується саме останнім рядком ip route 0.0.0.0 0.0.0.0 192.168.1.1



тут - всі запити на всі адреси направляються за адресою 192.168.1.1

Діапазони VLAN



VLAN

Діапазон

Використання

Передається VTP

0,4095

reserved

Для використання

-

1

Normal

VLAN за умовчуванням

Да

2-1001

Normal

Ethernet

Да

1002-1005

Normal

FDDI, token ring

Да

1006-4094

extended

Ethernet

Версія 3

Політика виділення VLAN-ів (VLAN allocation policy) налаштовується за допомогою команди vlan internal allocation policy {ascending | descending}.

В режимі ascending використовуються номери, починаючи з 1006 і вище. В режимі descending, починаючи з 4094 і нижче.

Router # configure terminal

Router (config) # vlan internal allocation policy descending

Подальші налаштування мають на увазі використання комутатора 3 рівня.

Для того, щоб налаштувати маршрутизацію між мережами різних VLAN на комутаторі необхідно:

Включити ip routing

Призначити IP-адреси відповідним VLAN

Крім того, необхідно щоб IP-адреси відповідних VLAN були вказані як маршрути по замовчуванню на хостах.

IP-адреса, адреса Ай-Пі (від англ. Internet Protocol address) - це ідентифікатор (унікальний числовий номер) мережевого рівня, який використовується для адресації комп'ютерів чи пристроїв у мережах, які побудовані з використанням протоколу TCP/IP (н-д Інтернет).

Включення маршрутизації на комутаторі:

sw (config) # ip routing

Задання адреси в VLAN. Ця адреса має бути прописана як маршрут за замовчуванням для комп'ютерів в VLAN 2:

sw (config) # vlan 2

sw (vlan-2) # ip address 10.0.2.1/24

Або, інший формат завдання IP-адреси в VLAN:

sw (config) # vlan 2 ip address 10.0.2.1/24

Перегляд інформації про заданих IP-адреси і чи включений ip routing:

sw (config) # show ip

Таблиця маршрутизації:

sw (config) # show ip route

Приклад конфігурації



Рис. 3


Для мережі зображеної на схемі наведені приклади конфігурацій комутаторів.

Комутатори sw1 і sw2 працюють як комутатори 2 рівня. Комутатор sw3 виконує маршрутизацію між VLAN-амі хостів і VLAN-ом серверів. Крім того, на комутаторі sw3 налаштований DHCP relay agent, для того щоб хости могли отримати IP-адреси і маршрут по замовчуванню від DHCP-сервера (IP-адреса DHCP-сервера вказаний на схемі).

Конфігурація sw1:

hostname "sw1"

vlan 11

   name "marketing"



   untagged 1-2

   tagged 11

   exit

vlan 12


   name "managers"

   untagged 7-8

   tagged 11

   exit
Конфігурація sw2:

hostname "sw2"

vlan 11


   name "marketing"

   untagged 3-4

   tagged 12

   exit


vlan 15

   name "top-managers"

   untagged 8-9

   tagged 12

   exit
Конфігурація sw3:

hostname "sw3"

ip routing

vlan 11


   name "marketing"

   ip address 10.0.11.1 255.255.255.0

   ip helper-address 10.0.100.100

   tagged 11-12

   exit

vlan 12


   name "managers"

   ip address 10.0.12.1 255.255.255.0

   ip helper-address 10.0.100.100

   tagged 11

   exit

vlan 15


   name "top-managers"

   ip address 10.0.15.1 255.255.255.0

   ip helper-address 10.0.100.100

   tagged 12

   exit

vlan 100


   name "servers"

   ip address 10.0.100.1 255.255.255.0

   untagged 1-2

   exit


4.Застосування технології VPN для побудови корпоративної мережі.

VPN-технологія забезпечує створення поверх незахищених мереж логічних мереж на основі побудови тунелів [2, 3]. В багатьох випадках виникають ситуації коли потрібно забезпечити використання мережі Internet в корпоративних цілях організувавши тонель типу: мережа- мережа , мережа- вузол або вузол-мережа. Основні властивості технології VPNдають можливість об’єднувати локальні мережі органів Держспецзв’язку в єдину корпоративну мережу.

4.1 Модель корпоративної мережі IP VPN.

Сьогодні базовою мережею для всіх телекомунікаційних служб є мережа IP.Всі види трафіку передаються через цю мережу. Просто існує багато різних розробок, направлених на забеспечення різних вимог якісної передачі трафіку в залежності від вимог конкретної послуги. Рекомендуємо використати в якості моделі корпоративної мережі структуру приведену на рис. 4.





Рис.4
Для організації VPN- мережі в кожній LAN корпоративної мережі встановлюють маршрутизатор, який і забезпечує взаємодію мережі LAN підрозділів Держспецзв'язку із VPN-мережею. На маршрутизатори встановлене програмне забезпечення для побудови захищених VPN (безкоштовний пакет OpenVPN який необхідно сконфігурувати для роботи в режимі маршрутизації).
Підро́зділ - у військовій справі - військова одиниця постійної організації, головним чином однорідного складу в кожному роді військ та у спеціальних військах, що організаційно входить до складу більшого підрозділу або військової частини.
Програ́мне забезпе́чення (програ́мні за́соби) (ПЗ; англ. software) - сукупність програм системи обробки інформації і програмних документів, необхідних для експлуатації цих програм.
Технологія OpenVPN основана на стандарті SSL для забезпечення безпечних комунікацій через Internet.

Маршрутизатор Адміністрації налаштовується в якості VPN- серверу, а маршрутизатори Регіональних управлінь в якості VPN- клієнтів.

Станда́рт - нормативний документ, заснований на консенсусі, прийнятий визнаним органом, що встановлює для загального і неодноразового використання правила, настанови або характеристики щодо діяльності чи її результатів, та спрямований на досягнення оптимального ступеня впорядкованості в певній сфері.
Адміністрáція - це: «державна адміністрація» у значенні певних органів державного управління. Розрізняють - А. центральну (Президент, Кабінет Міністрів, інші центральні відомства) та місцеву (решта органів державного управління); із запровадженням інституту президентства створено апарат при Президентові України, який має назву «Адміністрація Президента України».
Маршрутизатори VPN- серверу і VPN- клієнтів підключаються до Internet через мережу провайдера. До VPN- серверу може підключатися ПК віддаленого користувача (попередньо на ПК встановлюють програму VPN- користувача).
Провайдер (від англ. provider - постачальник) - компанія, постачальник будь-яких послуг.
Кори́стува́ч - той, хто користується чим-небудь - майном, землею, комп'ютером тощо.

4.2. Захист даних .

Захист даних у VPN здійснюється в двох напрямках[1] :



  • криптування інформації, яка передається через тунель

  • аутентифікація та авторизація користувачів VPN.

Суть технологій тунелювання на 3 рівні можна уяснити по схемі наведеній на рис. 5.

Рис. 5. Тунелювання на 3 рівні


Між рознесеними на місцевості мережами можна створити тунель (між маршрутизаторами М1 і М2). Сконфігурувати ці маршрутизатори відповідно для роботи по тунелю, продумати захист інформації на ділянці тунеля.
Інформаці́йні техноло́гії, ІТ (використовується також загальніший / вищий за ієрархією термін інформаційно-комунікаційні технології (Information and Communication Technologies, ICT) - сукупність методів, виробничих процесів і програмно-технічних засобів, інтегрованих з метою збирання, опрацювання, зберігання, розповсюдження, показу і використання інформації в інтересах її користувачів.
Зáхист інформáції (англ. Data protection) - сукупність методів і засобів, що забезпечують цілісність, конфіденційність і доступність інформації за умов впливу на неї загроз природного або штучного характеру, реалізація яких може призвести до завдання шкоди власникам і користувачам інформації.
Далі на конкретно наведеному прикладі показано порядок конфігурування (Додаток1).

Додаток. 1



1. Приклад конфігурування маршрутизаторів М1 і М2

1.Налаштування GRE на маршрутизаторі M1

M1# conf term

M1 (config)# interface Tunnel 4

M1(config-if)# ip address 192.169.2.1

M1 (config-if)# ip mtu 1436

M1(config-if)# ip nbar protocol-discovery

M1(config-if)# ip atjst-mss 1436

M1(config-if)# tunnel source 192.169.2.1

M1 (config-if)# tunnel destination 192.169.2.2

M1(config)# ip route 192.168.2.0 255.255.255.0 Tunnel 4

2. Налаштування GRE на маршрутизаторі M2

M2# conf term

M2 (config)# interface Tunnel 4

M2(config-if)# ip address 192.169.2.1

M2 (config-if)# ip mtu 1436

M2(config-if)# ip nbar protocol-discovery

M2(config-if)# ip atjst-mss 1436

M2(config-if)# tunnel source 192.169.2.1

M2 (config-if)# tunnel destination 192.169.2.2

M2(config)# ip route 192.168.1.0 255.255.255.0 Tunnel

Для перевірки налаштування протоколу GRE використовують команди :


3. Налаштування IPsec на маршрутизаторі M2

M2# conf term

M2 (config)# crypto isakmp policy 100

M2 (config-isakmp)# authentication pre-share

M2 (config-isakmp)# hash sha

M2 (config-isakmp)# encryption aes 128

M2 (config-isakmp)# group 2

M2 (config-isakmp)# lifetime 86400

M2 (config-isakmp)# exit

M2 (config)# crypto isakmp key C1sc0Press address 10.9.9.2

M2 (config)# end

M2#


4. Налаштування IPsec на маршрутизаторі M1

M1# conf term

M1 (config)# crypto isakmp policy 100

M1(config-isakmp)# authentication pre-share

M1(config-isakmp)# hash sha

M1(config-isakmp)# encryption aes 128

M1(config-isakmp)# group 2

M1(config-isakmp)# lifetime 86400

M1(config-isakmp)# exit

M1(config)# crypto isakmp key C1sc0Press address 10.10.9.1

M1(config)#end

M1#


Для перевірки налаштування протоколу IPsec використаємо команди :

  • #debug crypto ipsec- для відображення подій в IPsec;

  • #debug crypto isakm- для відображення повідомлень відносячи до IKE.

Висновки.

Приведено можливості побудови корпоративних мереж на основі використання технологій VLAN,VPN.

Наведено конкретні файли конфігурації мережевих пристроїв що дає змогу конкретної реалізації корпоративних мереж.



Література:

1. Наталенко П.П., Белый О.С.Применение технологии VPN для построения защищенной системы маршрутизации для корпоративных сетей на оборудовании СISCO.Матеріали конференції 22-29 лютого 2012р. Міжнародна НТК Радіотехнічні поля, сигнали, апрарати та системи м.

Радіоте́хніка - галузь науки і технології, що стосується застосування радіохвиль для передавання інформації та енергії, а також відповідна галузь техніки.
Київ.



2. Уэнстрем М. Организация защиты сетей Cisco.: Пер. с англ.-М.: Вильямс, 2005. – 768 c.

3. Ткаченко В. Сети VPN на базе технологии MPLS. www.lessons-tva.info/archive/nov030.html.


Скачати 131.16 Kb.

  • Наталенко П.П., Бондаренко Л.А. Применение технологии VPN для построения корпоративных сетей на оборудовании Cisco.
  • Ключові слова
  • 1. Основні вимоги до корпоративної
  • 2. Можливості по структирізації мереж.
  • 3. Налаштування VLAN на комутаторах
  • 3.1 Налаштування VLAN на комутаторах Cisco під управлінням IOS 1. Термінологія
  • 3.2 Налаштування маршрутизації між VLAN
  • 4.Застосування технології VPN для побудови корпоративної мережі.
  • 3. Налаштування IPsec на маршрутизаторі M2
  • 4. Налаштування IPsec на маршрутизаторі M1