Введение

Введение
Посетителей: 3056 \| Просмотров: 4934 (сегодня 0)	Шрифт:

Опубликовано: 31 октября 2001 г.
Переведено: 16 июля 2006 г.

Аннотация

Виртуальная частная сеть (Virtual Private Network, VPN) является расширением частной сети, позволяя выполнять подключения через общедоступные сети, такие как Интернет. VPN-подключения между маршрутизаторами позволяют компьютерам получить безопасный доступ к узлам организации через сеть Интернет. Этот документ описывает различные компоненты и выбор плана развертывания VPN-подключений между маршрутизаторами с использованием VPN-серверов под управлением операционной системы Windows 2000. В этом документе содержатся подробные инструкции по развертыванию виртуальных частных сетей «маршрутизатор-маршрутизатор», основанных на протоколах PPTP (Point-to-Point Tunneling Protocol) и L2TP (Layer Two Tunneling Protocol), информация о настройке брандмауэра, подробности работы с сервисными утилитами и способы решения типичных проблем. Этот документ предполагает знакомство со стеком протоколов TCP/IP, IP-маршрутизацией, протоколом защиты сетевого трафика на IP-уровне (IPSec) и возможностями службы маршрутизации и удаленного доступа Windows 2000 (Windows 2000 Routing and Remote Access service).

На этой странице

	Обзор маршрутизации вызова по требованию в Windows 2000 Server
	Введение в VPN-подключения между маршрутизаторами

Виртуальная частная сеть является расширением частной сети, позволяя выполнять подключение через общедоступные сети, такие как Интернет. С помощью VPN Вы можете передавать данные между двумя компьютерами через общедоступные сети с имитацией частного подключения «точка-точка» (как например глобальная сеть передачи данных на дальние расстояния (WAN), основанная на системе передачи информации T-Carrier).

Для имитации связи «точка-точка» данные группируются (инкапсулируются) в пакеты с добавлением заголовка, содержащего сведения о маршрутизации, которые позволяют передаваемым данным достичь точки назначения в процессе передачи через общедоступную сеть. Кроме того, для имитации связи «точка-точка» данные шифруются в целях безопасности. Пакеты, которые могут быть перехвачены в общедоступной сети, невозможно расшифровать, не имея ключей шифрования. Соединение, в котором частные данные инкапсулированы и зашифрованы, называется виртуальным частным подключением (VPN-подключением).

На Рисунке 1 представлен логический эквивалент VPN-подключения.

Рисунок 1 – Логический эквивалент VPN-подключения

Пользователи, которые работают дома или находятся в дороге, могут применять VPN-подключения для удаленного соединения с сервером организации, используя инфраструктуру общедоступной сети, такой как Интернет. С точки зрения пользователя VPN-подключение выглядит как прямое соединение «точка-точка» между его компьютером (VPN-клиентом) и сервером организации (VPN-сервером). Конкретная инфраструктура общедоступной сети значения не имеет, поскольку логически данные передаются через выделенное частное подключение.

Организации могут также использовать VPN-подключения для осуществления соединений между маршрутизаторами географически разделенных подразделений или других организаций через общедоступные сети, сохраняя защищенность связи. VPN-подключения между маршрутизаторами через Интернет логически функционируют как выделенные подключения через глобальную сеть (выделенные WAN-подключения).

Удаленный доступ и подключения между маршрутизаторами позволяют организациям использовать локальные коммутируемые или выделенные линии для соединения с поставщиком услуг Интернета, позволяя тем самым организовать VPN-подключения и избавиться от удаленных коммутируемых или выделенных соединений.
В операционной системе Windows® 2000 существует два типа технологий VPN-подключений между маршрутизаторами на основе протокола PPP:

Протокол PPTP (Point-to-Point Tunneling Protocol).

PPTP использует методы проверки подлинности на уровне пользователей на основе протокола PPP (Point-to-Point Protocol), а также шифрование данных на основе MPPE (Microsoft Point-to-Point Encryption).

Протокол L2TP (Layer Two Tunneling Protocol) с поддержкой IPSec (Internet Protocol security).

L2TP с поддержкой IPSec (L2TP/IPSec) использует методы проверки подлинности на уровне пользователей на основе протокола PPP, а также протокол IPSec для проверки подлинности на уровне компьютера, используя сертификаты и производя проверку и шифрование данных, обеспечивая их целостность и сохранность.

Примечание. Использование туннельного режима IPSec для VPN-подключений между маршрутизаторами возможно только на компьютерах под управлением ОС Windows 2000 Server. Поскольку туннель IPSec не является логическим интерфейсом для пересылки и получения пакетов данных, протоколы маршрутизации не будут работать через туннели IPSec. Так как конфигурирование туннелей IPSec для VPN-подключений между маршрутизаторами имеет существенные отличия, оно не рассматривается в этой статье. Для получения дополнительной информации смотрите Q252735, Конфигурирование туннелирования IPSec в Windows 2000 (EN) в Базе знаний Майкрософт.

Для шифрования данных Вы можете использовать канальное шифрование, а также шифрование «узел-узел» в качестве дополнения.

•

Канальное шифрование обеспечивает шифрование данных только в канале между маршрутизаторами. Для PPTP-подключений Вы должны использовать шифрование MPPE в сочетании с протоколами аутентификации MS-CHAP, MS-CHAP v2, или EAP-TLS. Для подключений L2TP/IPSec шифрование в канале между маршрутизаторами обеспечивает протокол IPSec.

•

Шифрование «узел-узел» обеспечивает шифрование данных между начальным и конечным узлом. Вы можете использовать протокол IPSec после создания VPN-подключения между маршрутизаторами для шифрования данных между начальным и конечным узлами.

Обзор маршрутизации вызова по требованию в Windows 2000 Server

Службы маршрутизации и удаленного доступа Windows 2000 включают поддержку маршрутизации вызова по требованию (demand-dial routing, или dial-on-demand routing) как через коммутируемые подключения (аналоговые телефонные линии или линии IDSN), так и через VPN-подключения. Маршрутизация вызовов по требованию представляет собой пересылку пакетов с помощью PPP-связи. PPP-связь представлена в службах маршрутизации и удаленного доступа Windows 2000 в виде интерфейса вызова по требованию, который может использоваться для создания подключений по требованию при помощи коммутируемых, постоянных или непостоянных соединений. Подключения по требованию позволяют Вам использовать коммутируемые телефонные линии вместо соединений по выделенной линии для случаев небольшого сетевого трафика, а также использовать широкие возможности Интернета для соединения удаленных офисов с помощью VPN-подключений.

Маршрутизация вызова по требованию отличается от удаленного доступа. В то время, как с помощью удаленного доступа к сети подключается отдельный компьютер, маршрутизация вызова по требованию соединяет целые сети. Несмотря на это, для взаимодействия, проверки подлинности подключений и инкапсуляции передаваемых данных в обоих случаях используется протокол PPP. Служба маршрутизации и удаленного доступа Windows позволяет осуществлять подключения удаленного доступа и подключения вызова по требованию независимо друг от друга. Однако для обоих способов подключения будут едиными:

•	Свойства удаленного подключения пользовательских учетных записей.
•	Безопасность (протоколы шифрования и проверки подлинности).
•	Использование политики удаленного доступа.
•	Использование встроенной проверки подлинности Windows или протокола службы удаленной проверки пользователей (Remote Authentication Dial-in User Service, RADIUS) для проверки подлинности, авторизации и учета подключений.
•	Назначение и конфигурирование IP- и IPX-адресов.
•	Использование функциональных возможностей протокола PPP, таких как программное сжатие Microsoft Point-to-Point Compression (MPPC), многоканальные PPP-подключения (Multilink PPP) и протокол распределения пропускной способности (Bandwidth Allocation Protocol, BAP).
•	Средства устранения неполадок, включающие в себя регистрацию событий в журнале, регистрацию и отслеживание работы с учетными записями и проверку подлинности с помощью Windows или RADIUS.

Несмотря на простую концепцию маршрутизации вызова по требованию, ее настройка довольно сложна. Эта сложность обусловлена следующими факторами:

•	Адресация конечных точек подключения. Соединение устанавливается по общедоступным сетям передачи данных, таким как аналоговая телефонная система или Интернет. Конечная точка подключения должна идентифицироваться либо телефонным номером в случае подключения удаленного доступа, либо полным именем или IP-адресом узла в случае VPN-подключения.
•	Проверка подлинности и авторизация вызывающего объекта. Любой подключающийся к маршрутизатору объект должен пройти проверку подлинности и авторизацию. Проверка подлинности выполняется на основе учетных данных вызывающего объекта, которые передаются во время подключения. Передаваемые учетные данные должны соответствовать учетной записи пользователя Windows 2000. Авторизация выполняется на основании параметров входящих звонков учетной записи пользователя Windows 2000 и политики удаленного доступа.
•	Различие между клиентами удаленного доступа и маршрутизаторами. Службы маршрутизации и удаленного доступа работают совместно на одном компьютере под управлением Windows 2000 Server. Инициировать соединение могут как клиенты удаленного доступа, так и маршрутизаторы вызова по требованию. Компьютер под управлением Windows 2000 Server, который принимает запросы на подключение, должен уметь отличать клиентов удаленного доступа от маршрутизаторов вызова по требованию. Если имя пользователя, содержащееся в учетных данных, отправляемых инициирующим подключение маршрутизатором, совпадает с именем интерфейса вызова по требованию на отвечающем маршрутизаторе, то в этом случае подключение считается подключением вызова по требованию. В противном случае считается, что входящее подключение является подключением удаленного доступа к сети.
•	Конфигурирование обеих сторон подключения. Должны быть сконфигурированы обе стороны подключения, даже если подключение по требованию будет инициироваться только одной стороной. Конфигурирование подключения только на одном конце соединения означает, что пакеты будут успешно пересылаться только в одном направлении. Как правило, для нормальной связи требуется передача информации в обоих направлениях.
•	Настройка статических маршрутов. Вы не должны использовать протоколы динамической маршрутизации для непостоянных подключений по требованию. По этой причине маршруты к сетям, доступным через интерфейс вызова по требованию, должны быть добавлены в виде статических маршрутов в таблицы маршрутизации серверов вызова по требованию. Это можно сделать вручную или с помощью автостатических обновлений.

Обновление маршрутов при маршрутизации вызова по требованию

Вызовы по требованию могут снизить стоимость подключений, но обычные протоколы маршрутизации применяют периодические объявления для обмена информацией маршрутизации. Например, протокол RIP для IP объявляет содержимое своей таблицы маршрутизации каждые 30 секунд на всех интерфейсах, что может привести к высоким счетам за телефонную связь. Поэтому не следует использовать протоколы маршрутизации для непостоянных подключений по линиям глобальной связи.

Если Вы не используете протоколы маршрутизации для обновления таблиц маршрутизации, новые маршруты должны добавляться в виде статических маршрутов. Статические маршруты к сетям, доступным через данный интерфейс, могут вводиться вручную или автоматически. Службой маршрутизации и удаленного доступа Windows 2000 поддерживается автоматический ввод статических маршрутов для интерфейсов вызова по требованию, который называется автостатическим обновлением. Автостатические обновления поддерживаются для протоколов RIP для IP, RIP для IPX, SAP для IPX, но не поддерживаются для протокола OSPF.

При получении инструкций интерфейс вызова по требованию, настроенный на использование автостатических обновлений, отправляет по активному подключению запрос на все маршруты, которые содержит маршрутизатор на другом конце подключения. В ответ на этот запрос все маршруты опрашиваемого сервера автоматически заносятся в виде статических маршрутов в таблицу маршрутизации сервера, пославшего запрос. Статические маршруты являются постоянными. Они сохраняются в таблице маршрутизации даже при отключении интерфейса или перезагрузке маршрутизатора. Автостатическое обновление – это однократное, одностороннее получение информации маршрутизации.

Вы можете планировать и автоматизировать выполнение автостатических обновлений, назначая их в качестве запланированных задач Windows 2000. Для получения дополнительной информации обратитесь к разделу Планирование автостатических обновлений (Scheduling auto-static updates) встроенной справки Windows 2000 Server.

Чтобы найти определенный раздел встроенной справки Windows 2000:

1.	Выберите Справка (Help) в меню Пуск (Start)
2.	В открывшемся диалоговом окне выберите вкладку Поиск (Search)
3.	Снимите флажок Похожие Слова (Match similar words) и установите флажок Только в заголовках (Search titles only)
4.	В поле Искать следующие слова (Type the keyword to find) введите название раздела и нажмите кнопку Разделы (List topics).
5.	В списке Раздел (Select topic) дважды щелкните на названии раздела, который Вы искали.

Примечание. Частица «авто» в слове «автостатический» означает, что запрашиваемые маршруты автоматически добавляются в таблицу маршрутизации в виде статических маршрутов. Отправка запроса маршрутизатору выполняется явно: либо через оснастку Маршрутизация и удаленный доступ (Routing and Remote Access), либо с помощью служебной программы Netsh, когда интерфейс вызова по требованию находится в подключенном состоянии. Автостатические обновления не выполняются автоматически при каждом установлении подключения по требованию.

Наверх страницы

Введение в VPN-подключения между маршрутизаторами

VPN-подключение между маршрутизаторами является подключением вызова по требованию и использует протокол туннелирования VPN, такой как PPTP или L2TP для соединения двух частей частной сети. Каждый VPN-сервер предоставляет маршрутизируемое соединение с сетью, к которой он подключен. В случае VPN-подключения между маршрутизаторами пакеты, отправляемые маршрутизаторами через VPN-соединение, обычно не создаются на самих маршрутизаторах.

Вызывающий маршрутизатор (VPN-клиент) инициирует подключение. Отвечающий маршрутизатор (VPN-сервер) принимает запрос на подключение от VPN-клиента и отвечает на него. Вызывающий маршрутизатор предоставляет свои учетные данные для проверки подлинности. В случае использования протокола взаимной проверки подлинности, такого как MS-CHAP v2 или EAP-TLS, VPN-сервер также предоставляет свои учетные данные вызывающему маршрутизатору.

В Таблице 1 перечислены операционные системы корпорации Microsoft, поддерживающие использование виртуальных частных сетей «маршрутизатор-маршрутизатор».

Таблица 1 - Операционные системы корпорации Microsoft, поддерживающие использование виртуальных частных сетей «маршрутизатор-маршрутизатор».

Протокол туннелирования VPN	Операционная система корпорации Microsoft
PPTP	Windows 2000 Server, Windows NT Server 4.0 с установленными службами маршрутизации и удаленного доступа (Routing and Remote Access Service, RRAS)
L2TP/IPSec	Windows 2000 Server

VPN-клиентом также может быть любой не-Microsoft клиент PPTP или клиент L2TP, использующий IP-безопасность (IPSec).

Подключения по требованию и постоянные подключения

Существует два типа VPN-подключений между маршрутизаторами: постоянные подключения и подключения по требованию.

•

Подключение по требованию создается при возникновении необходимости передачи данных. После того как подключение установлено и передача данных завершена, по истечении заданного интервала времени простоя подключение завершается. Вы можете настроить параметры отключения при простое для отвечающего маршрутизатора в свойствах политики удаленного доступа, которая используется для VPN-подключений «маршрутизатор-маршрутизатор». Для этого откройте оснастку Маршрутизация и удаленный доступ (Routing and Remote Access), откройте окно свойств политики удаленного доступа, нажмите кнопку Изменить профиль (Edit Profile), перейдите на вкладку Ограничения по входящим звонкам (Dial-in Constraints) и настройте необходимые параметры. Вы можете также настроить параметры отключения при простое для вызывающего маршрутизатора. Для этого откройте оснастку Маршрутизация и удаленный доступ (Routing and Remote Access), откройте страницу свойств интерфейса вызова по требованию, перейдите на вкладку Параметры (Options) и настройте необходимые параметры.

•

Постоянное подключение всегда активно. Если по каким-либо причинам подключение разрывается, оно тут же восстанавливается. Для настройки отвечающего маршрутизатора на постоянное подключение, выполните следующее: откройте оснастку Маршрутизация и удаленный доступ (Routing and Remote Access), откройте окно свойств политики удаленного доступа, нажмите кнопку Изменить профиль (Edit Profile), перейдите на вкладку Ограничения по входящим звонкам (Dial-in Constraints) и снимите флажки Разъединение при простое более (Disconnect if idle for) и Максимальная продолжительность сеанса (Restrict maximum session to). Для настройки вызывающего маршрутизатора на постоянное подключение, выполните следующее: откройте оснастку Маршрутизация и удаленный доступ (Routing and Remote Access), откройте страницу свойств интерфейса вызова по требованию, перейдите на вкладку Параметры (Options) и установите переключатель в значение Постоянное подключение (Persistent connection).

Если вызывающий маршрутизатор подключается к Интернету с помощью удаленного доступа (например через аналоговую телефонную линию или цифровую линию ISDN), Вам необходимо настроить удаленное VPN-подключение по вызову между маршрутизаторами. Для этого необходимы следующие компоненты:

•	Один интерфейс вызова по требованию на отвечающем маршрутизаторе.
•	Два интерфейса вызова по требованию на вызывающем маршрутизаторе: один для подключения к локальному поставщику услуг Интернета (ISP), другой – для VPN-подключения между маршрутизаторами.
•	Дополнительный узловой маршрут в таблице маршрутизации вызывающего маршрутизатора.

Для получения дополнительной информации обратитесь к разделу Виртуальное частное подключение «маршрутизатор-маршрутизатор» по требованию (An on-demand router-to-router VPN) встроенной справки Windows 2000 Server.

Как в случаях VPN-подключений по требованию, так и в случаях постоянных VPN-подключений отвечающий маршрутизатор всегда должен быть подключен к Интернету.

Ограничение инициирования подключений по требованию

Вы можете запретить вызывающему маршрутизатору создавать определенные VPN-подключения по требованию между маршрутизаторами и тем самым избежать создания ненужных подключений. Для этого можно воспользоваться следующими способами:

•

Фильтрация вызовов по требованию. С помощью фильтрации Вы можете создать список потоков данных. Этот список может содержать либо потоки данных, для которых не будет создаваться подключение по требованию, либо только те потоки данных, для которых подключение будет создаваться. Для настройки фильтрации вызовов по требованию выполните следующее: откройте оснастку Маршрутизация и удаленный доступ (Routing and Remote Access), выберите узел Интерфейсы Маршрутизации (Routing Interfaces), щелкните правой кнопкой мыши на названии интерфейса по вызову и выберите в контекстном меню Установить IP-фильтры вызова по требованию (Set IP Demand-dial Filters).

•

Расписание исходящих вызовов. С помощью расписания исходящих вызовов Вы можете указать часы работы, в которые вызывающему маршрутизатору будет разрешено либо запрещено устанавливать VPN-соединение между маршрутизаторами. Для этого выполните следующее: откройте оснастку Маршрутизация и удаленный доступ (Routing and Remote Access), выберите узел Интерфейсы Маршрутизации (Routing Interfaces), щелкните правой кнопкой мыши на названии интерфейса по вызову и выберите в контекстном меню Расписание исходящих вызовов (Dial-out Hours).

Вы можете использовать политику удаленного доступа, чтобы задать часы работы, в которые будет разрешен прием входящих подключений по требованию.

Односторонние и двусторонние инициированные подключения

В случаях односторонних инициированных подключениях один VPN-маршрутизатор всегда является вызывающим маршрутизатором, а другой VPN-маршрутизатор всегда является отвечающим маршрутизатором. Односторонние инициированные подключения хорошо подходят для случаев постоянных соединений в сетях с топологией «звезда», когда маршрутизатор удаленного филиала является единственным маршрутизатором, инициирующим подключение. Для односторонних инициированных подключений необходимо следующее:

•	Отвечающий маршрутизатор, настроенный в качестве маршрутизатора локальной сети и вызова по требованию.
•	Учетная запись пользователя для учетных данных проверки подлинности вызывающего маршрутизатора. Эти учетные данные передаются отвечающему маршрутизатору и используются для проверки подлинности.
•	Имя интерфейса вызова по требованию на отвечающем маршрутизаторе должно совпадать с именем учетной записи пользователя, которая используется вызывающим маршрутизатором. Поскольку этот интерфейс не используется для исходящих вызовов, он может иметь имя, не совпадающее с именем или IP-адресом вызывающего маршрутизатора или с действующими учетными данными.

При двусторонних инициированных подключениях VPN-маршрутизатор может быть как вызывающим маршрутизатором, так и отвечающим, в зависимости от того, какой из двух маршрутизаторов инициировал соединение. Оба VPN-маршрутизатора должны быть настроены как для инициирования, так и для приема VPN-подключений между маршрутизаторами. Вы можете использовать двусторонние инициированные подключения в тех случаях, когда VPN-подключение между маршрутизаторами не должно находиться в активном состоянии 24 часа в сутки, и используется в качестве подключения по требованию. Для двусторонних инициированных подключений необходимо следующее:

•	Оба маршрутизатора должны быть подключены к Интернету с помощью постоянной связи с глобальной сетью.
•	Оба маршрутизатора должны быть настроены в качестве маршрутизаторов локальной сети и вызова по требованию.
•	Учетные записи для учетных данных проверки пользователя на обоих маршрутизаторах. Учетные данные вызывающего маршрутизатора передаются отвечающему маршрутизатору и используются для проверки подлинности.
•	Имя интерфейса вызова по требованию на каждом маршрутизаторе должно совпадать с именем учетной записи пользователя, которая используется вызывающим маршрутизатором. Имя компьютера или IP-адрес назначения должны совпадать с именем или IP-адресом отвечающего маршрутизатора и действующими учетными данными.

В Таблице 2 показан пример правильной настройки двустороннего инициированного вызова по требованию между Маршрутизатором 1 (маршрутизатором вызова по требованию в Сиэтле) и Маршрутизатором 2 (маршрутизатором вызова по требованию в Нью-Йорке).

Таблица 2 – Пример правильной настройки двустороннего инициированного вызова по требованию

Маршрутизатор	Имя интерфейса вызова по требованию	Имя учетной записи пользователя в учетных данных пользователя
Маршрутизатор 1	DD_NewYork	DD_Seattle
Маршрутизатор 2	DD_Seattle	DD_NewYork

Обратите внимание на то, что имя учетной записи пользователя в учетных данных интерфейса вызова по требованию на одном маршрутизаторе совпадает с именем интерфейса по требованию на другом маршрутизаторе.

Наверх страницы

Автор: Артем Жауров aka Borodunter • Иcточник: (переведено с англ.) Microsoft Technet • Опубликована: 13.09.2006

Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER

Теги:

Оценить статью: