 |
|
|
|
Virtual Private Network. Иное построение географически распределенных сетей
Virtual Private Network Прочитал статью «Virtual Private Network. Построение географически распределенных сетей» (№5-2010) К. Кондакова, которая меня заинтересовала. Захотелось поделиться с коллегами своим опытом по организации связей между удаленными офисами посредством создания виртуальных частных сетей (VPN) В статье [1] описана технология создания VPN-каналов с типом подключения точка-точка. Данный тип подключения обладает, на мой взгляд, некоторыми недостатками, а именно требует выделения провайдером постоянных IP-адресов, а при количестве туннелей более 20 администрирование становится затруднительным, т.к. надо менять конфигурацию оборудования и на центральной точке. Я предлагаю альтернативу этой технологии под названием Cisco Easy VPN (простой VPN), которая представляет собой практически описанный в статье Константина Кондакова способ подключения пользователей через Cisco VPN Сlient, только реализованный на маршрутизаторах и межсетевых экранах ASA и PIX компании Cisco Systems и позволяющий подключать не только конкретного пользователя, но и целые сети. Суть технологии основана на том, что есть центральный сервер EASY VPN, им могут быть как маршрутизаторы, так и межсетевые экраны, а также и концентратор 3000, и клиенты EASY VPN, которые подключаются к серверам и образуют шифрованный канал связи. При этом основные настройки сервера делаются только один раз, и далее к нему подключаются периферийные устройства. При этом периферийным устройствам не требуется выделенных провайдером постоянных IP-адресов. Описание схемы и принцип работы Рассмотрим гипотетическую схему распределенной корпоративной сети, представленную на рис. 1.
Рисунок 1. Схема переключения В данной схеме мы имеем центральный офис компании в Магадане и подчиненные офисы в Лос-Анджелесе и Усть-Каменогорске, и банкомат, установленный в Твери. Сервером EASY VPN в Магадане является межсетевой экран компании Cisco Systems ASA 5510. В данном примерев роли клиента EASY VPN выступают маршрутизаторы Cisco 871, хотя, как написано выше, клиентами могут являться межсетевые экраны компании Cisco Systems и рабочая станция с установленным ПО Cisco VPN Client. Для примера возьмем приблизительно такую же внутреннюю адресацию, как и в статье Константина Кондакова:
Все офисы подключены через Интернет по VPN-туннелю к центральному офису в Магадане и терминируются на брандмауэр ASA 5510. Так как основные принципы подключения и авторизации пользователей Cisco VPN Client описаны в вышеприведенной статье, то остановимся более подробно на конфигурации сервера EASY VPN (Cisco ASA 5510) и клиентских устройств (в данном случае маршрутизаторов Cisco 871). Итак, начнем с создания сервера на ASA 5510, к которому будут подключаться клиенты. Создадим object-group и добавим туда клиентов: object-group network nog-vpn Исключим группу nog-vpn из NAT: access-list inside_nat0_outbound extended permit ip any object-group nog-vpn nat (inside) 0 access-list inside_nat0_outbound Создадим пользователя: username u-easy-vpn password 5555555 encrypted Создадим параметры, согласно которым будет работать туннель: crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac crypto isakmp policy 20 Не будем использовать группу DefaultRAGroup, а создадим новую совместно с политиками для данной группы: group-policy gp-easy-vpn internal Произведем настройку клиентов EASY VPN на маршрутизаторе Cisco 871, для чего: Создадим клиента EASY VPN: crypto ipsec client ezvpn ezvpn-magadan Произведем настройку входного и выходного интерфейсов на примере Усть-Каменогорска: interface FastEthernet4 interface Vlan1 ! Создадим маршрут по умолчанию На этом основные настройки закончены. Более полную конфигурацию можно скачать на сайте журнала по ссылке [2]. *** Данный тип подключения требует значительно меньше настроечных работ, не зависит от адресации провайдера. Одним из небольших недостатков данного подключения является то, что оно всегда инициируется клиентом.
|
ВЛАДИМИР НЕФЁДОВ, ведущий специалист отдела сетевых технологий компании ООО «Группа Ренессанс Страхование»
Комментарии отсутствуют
| Добавить комментарий |
|
Комментарии могут оставлять только зарегистрированные пользователи |
|
