Virtual Private Network. Иное построение географически распределенных сетей

 ВЛАДИМИР НЕФЁДОВ, ведущий специалист отдела сетевых технологий компании ООО «Группа Ренессанс Страхование»

Virtual Private Network
Иное построение географически распределенных сетей

Прочитал статью «Virtual Private Network. Построение географически распределенных сетей» (№5-2010) К. Кондакова, которая меня заинтересовала. Захотелось поделиться с коллегами своим опытом по организации связей между удаленными офисами посредством создания виртуальных частных сетей (VPN)

В статье [1] описана технология создания VPN-каналов с типом подключения точка-точка. Данный тип подключения обладает, на мой взгляд, некоторыми недостатками, а именно требует выделения провайдером постоянных IP-адресов, а при количестве туннелей более 20 администрирование становится затруднительным, т.к. надо менять конфигурацию оборудования и на центральной точке.

Я предлагаю альтернативу этой технологии под названием Cisco Easy VPN (простой VPN), которая представляет собой практически описанный в статье Константина Кондакова способ подключения пользователей через Cisco VPN Сlient, только реализованный на маршрутизаторах и межсетевых экранах ASA и PIX компании Cisco Systems и позволяющий подключать не только конкретного пользователя, но и целые сети.

Суть технологии основана на том, что есть центральный сервер EASY VPN, им могут быть как маршрутизаторы, так и межсетевые экраны, а также и концентратор 3000, и клиенты EASY VPN, которые подключаются к серверам и образуют шифрованный канал связи. При этом основные настройки сервера делаются только один раз, и далее к нему подключаются периферийные устройства. При этом периферийным устройствам не требуется выделенных провайдером постоянных IP-адресов.

Описание схемы и принцип работы

Рассмотрим гипотетическую схему распределенной корпоративной сети, представленную на рис. 1.

Рисунок 1. Схема переключения

В данной схеме мы имеем центральный офис компании в Магадане и подчиненные офисы в Лос-Анджелесе и Усть-Каменогорске, и банкомат, установленный в Твери. Сервером EASY VPN в Магадане является межсетевой экран компании Cisco Systems ASA 5510.

В данном примерев роли  клиента EASY VPN выступают маршрутизаторы Cisco 871, хотя, как написано выше, клиентами могут являться межсетевые экраны компании Cisco Systems и рабочая станция с установленным ПО Cisco VPN Client.

Для примера возьмем приблизительно такую же внутреннюю адресацию, как и в статье Константина Кондакова:

• Магадан (головной офис – внутренняя сеть 192.168.5.0/24 и 192.168.10.0/24, внешний адрес 11.11.11.11).
• Офис в Лос-Анджелесе (внутренняя сеть 10.22.1.0/24, внешний адрес 22.22.22.22).
• Офис в Усть-Каменогорске (внутренняя сеть 10.31.1.0/24, внешний адрес получают от провайдера по DHCP).
• Офис в Твери (внутренняя сеть 10.13.1.0/24, внешний адрес получают от провайдера по DHCP).

Все офисы подключены через Интернет по VPN-туннелю к центральному офису в Магадане и терминируются на брандмауэр ASA 5510. Так как основные принципы подключения и авторизации пользователей Cisco VPN Client описаны в вышеприведенной статье, то остановимся более подробно на конфигурации сервера EASY VPN (Cisco ASA 5510) и клиентских устройств (в данном случае маршрутизаторов Cisco 871).

Итак, начнем с создания сервера на ASA 5510, к которому будут подключаться клиенты.

Создадим object-group и добавим туда клиентов:

object-group network nog-vpn
 description For easy vpn client and mobile users
 network-object 10.162.253.0 255.255.255.0
 network-object 10.162.3.0 255.255.255.0
 network-object 10.162.5.0 255.255.255.0

Исключим группу nog-vpn из NAT:

access-list inside_nat0_outbound extended permit ip any object-group nog-vpn nat (inside) 0 access-list inside_nat0_outbound

Создадим пользователя:

username u-easy-vpn password 5555555 encrypted
username u-easy-vpn attributes
! Увеличим количество одновременных подключений
vpn-simultaneous-logins 100
vpn-idle-timeout none
password-storage enable

Создадим параметры, согласно которым будет работать туннель:

crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto dynamic-map outside_dyn_map 20 set pfs
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5
crypto dynamic-map outside_dyn_map 20 set reverse-route
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
crypto isakmp enable outside

crypto isakmp policy 20
 authentication pre-share
 encryption 3des
 hash md5
 group 2
 lifetime 86400

Не будем использовать группу DefaultRAGroup, а создадим новую совместно с политиками для данной группы:

group-policy gp-easy-vpn internal
group-policy gp-easy-vpn attributes
 vpn-tunnel-protocol IPSec
 default-domain value bank.com
 ! В отличие от стандартной группы разрешим использование Network Extension
 nem enable
tunnel-group tg-easy-vpn type remote-access
tunnel-group tg-easy-vpn general-attributes
 default-group-policy gp-easy-vpn
 tunnel-group tg-easy-vpn ipsec-attributes
 pre-shared-key 4444444

Произведем настройку клиентов EASY VPN на маршрутизаторе Cisco 871, для чего:

Создадим клиента EASY VPN:

crypto ipsec client ezvpn ezvpn-magadan
 connect auto
 group tg-easy-vpn key 4444444
 mode network-extension
 peer 11.11.11.11
 ! Разрешим использование NAT
 nat allow
 username u-easy-vpn password 5555555
 xauth userid mode local

Произведем настройку входного и выходного интерфейсов на примере Усть-Каменогорска:

interface FastEthernet4
 bandwidth 2000
 ! Адрес от провайдера получаем по DHCP
 ip address dhcp
 ip nat outside
 no ip route-cache cef
 duplex auto
 speed auto
 crypto ipsec client ezvpn ezvpn-magadan output

interface Vlan1
 ip address 10.161.3.254 255.255.255.0
 crypto ipsec client ezvpn ezvpn-smr inside

! Создадим маршрут по умолчанию
ip route 0.0.0.0 0.0.0.0 dhcp

На этом основные настройки закончены. Более полную конфигурацию можно скачать на сайте журнала по ссылке [2].

***

Данный тип подключения требует значительно меньше настроечных работ, не зависит от адресации провайдера. Одним из небольших недостатков данного подключения является то, что оно всегда инициируется клиентом.

1. http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080809222.shtml.
2. http://www.samag.ru/source/config_VPN.zip.

Комментарии могут оставлять только зарегистрированные пользователи