Рубрика:
БИТ. Бизнес & Информационные технологии /
Технологии
| Дополнительные материалы
|
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|
ВЛАДИМИР НЕФЁДОВ, ведущий специалист отдела сетевых технологий компании ООО «Группа Ренессанс Страхование»
Virtual Private Network Иное построение географически распределенных сетей
Прочитал статью «Virtual Private Network. Построение географически распределенных сетей» (№5-2010) К. Кондакова, которая меня заинтересовала. Захотелось поделиться с коллегами своим опытом по организации связей между удаленными офисами посредством создания виртуальных частных сетей (VPN)
В статье [1] описана технология создания VPN-каналов с типом подключения точка-точка. Данный тип подключения обладает, на мой взгляд, некоторыми недостатками, а именно требует выделения провайдером постоянных IP-адресов, а при количестве туннелей более 20 администрирование становится затруднительным, т.к. надо менять конфигурацию оборудования и на центральной точке.
Я предлагаю альтернативу этой технологии под названием Cisco Easy VPN (простой VPN), которая представляет собой практически описанный в статье Константина Кондакова способ подключения пользователей через Cisco VPN Сlient, только реализованный на маршрутизаторах и межсетевых экранах ASA и PIX компании Cisco Systems и позволяющий подключать не только конкретного пользователя, но и целые сети.
Суть технологии основана на том, что есть центральный сервер EASY VPN, им могут быть как маршрутизаторы, так и межсетевые экраны, а также и концентратор 3000, и клиенты EASY VPN, которые подключаются к серверам и образуют шифрованный канал связи. При этом основные настройки сервера делаются только один раз, и далее к нему подключаются периферийные устройства. При этом периферийным устройствам не требуется выделенных провайдером постоянных IP-адресов.
Описание схемы и принцип работы
Рассмотрим гипотетическую схему распределенной корпоративной сети, представленную на рис. 1.
Рисунок 1. Схема переключения
В данной схеме мы имеем центральный офис компании в Магадане и подчиненные офисы в Лос-Анджелесе и Усть-Каменогорске, и банкомат, установленный в Твери. Сервером EASY VPN в Магадане является межсетевой экран компании Cisco Systems ASA 5510.
В данном примерев роли клиента EASY VPN выступают маршрутизаторы Cisco 871, хотя, как написано выше, клиентами могут являться межсетевые экраны компании Cisco Systems и рабочая станция с установленным ПО Cisco VPN Client.
Для примера возьмем приблизительно такую же внутреннюю адресацию, как и в статье Константина Кондакова:
- Магадан (головной офис – внутренняя сеть 192.168.5.0/24 и 192.168.10.0/24, внешний адрес 11.11.11.11).
- Офис в Лос-Анджелесе (внутренняя сеть 10.22.1.0/24, внешний адрес 22.22.22.22).
- Офис в Усть-Каменогорске (внутренняя сеть 10.31.1.0/24, внешний адрес получают от провайдера по DHCP).
- Офис в Твери (внутренняя сеть 10.13.1.0/24, внешний адрес получают от провайдера по DHCP).
Все офисы подключены через Интернет по VPN-туннелю к центральному офису в Магадане и терминируются на брандмауэр ASA 5510. Так как основные принципы подключения и авторизации пользователей Cisco VPN Client описаны в вышеприведенной статье, то остановимся более подробно на конфигурации сервера EASY VPN (Cisco ASA 5510) и клиентских устройств (в данном случае маршрутизаторов Cisco 871).
Итак, начнем с создания сервера на ASA 5510, к которому будут подключаться клиенты.
Создадим object-group и добавим туда клиентов:
object-group network nog-vpn description For easy vpn client and mobile users network-object 10.162.253.0 255.255.255.0 network-object 10.162.3.0 255.255.255.0 network-object 10.162.5.0 255.255.255.0
Исключим группу nog-vpn из NAT:
access-list inside_nat0_outbound extended permit ip any object-group nog-vpn nat (inside) 0 access-list inside_nat0_outbound
Создадим пользователя:
username u-easy-vpn password 5555555 encrypted username u-easy-vpn attributes ! Увеличим количество одновременных подключений vpn-simultaneous-logins 100 vpn-idle-timeout none password-storage enable
Создадим параметры, согласно которым будет работать туннель:
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac crypto dynamic-map outside_dyn_map 20 set pfs crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5 crypto dynamic-map outside_dyn_map 20 set reverse-route crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map crypto map outside_map interface outside crypto isakmp enable outside
crypto isakmp policy 20 authentication pre-share encryption 3des hash md5 group 2 lifetime 86400
Не будем использовать группу DefaultRAGroup, а создадим новую совместно с политиками для данной группы:
group-policy gp-easy-vpn internal group-policy gp-easy-vpn attributes vpn-tunnel-protocol IPSec default-domain value bank.com ! В отличие от стандартной группы разрешим использование Network Extension nem enable tunnel-group tg-easy-vpn type remote-access tunnel-group tg-easy-vpn general-attributes default-group-policy gp-easy-vpn tunnel-group tg-easy-vpn ipsec-attributes pre-shared-key 4444444
Произведем настройку клиентов EASY VPN на маршрутизаторе Cisco 871, для чего:
Создадим клиента EASY VPN:
crypto ipsec client ezvpn ezvpn-magadan connect auto group tg-easy-vpn key 4444444 mode network-extension peer 11.11.11.11 ! Разрешим использование NAT nat allow username u-easy-vpn password 5555555 xauth userid mode local
Произведем настройку входного и выходного интерфейсов на примере Усть-Каменогорска:
interface FastEthernet4 bandwidth 2000 ! Адрес от провайдера получаем по DHCP ip address dhcp ip nat outside no ip route-cache cef duplex auto speed auto crypto ipsec client ezvpn ezvpn-magadan output
interface Vlan1 ip address 10.161.3.254 255.255.255.0 crypto ipsec client ezvpn ezvpn-smr inside
! Создадим маршрут по умолчанию ip route 0.0.0.0 0.0.0.0 dhcp
На этом основные настройки закончены. Более полную конфигурацию можно скачать на сайте журнала по ссылке [2].
***
Данный тип подключения требует значительно меньше настроечных работ, не зависит от адресации провайдера. Одним из небольших недостатков данного подключения является то, что оно всегда инициируется клиентом.
- http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080809222.shtml.
- http://www.samag.ru/source/config_VPN.zip.
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|