Теория VPN
Так исторически сложилось, что под одним термином VPN понимаются две различные по своим целям, задачам и используемым алгоритмам информационные технологии:
- технологии обеспечения гарантированного качества обслуживания для корпоративного трафика, транспортируемого через публичные сети.
- технологии обеспечения информационной безопасности корпоративного трафика передаваемого через публичные сети (например, интернет).
Следует отметить, что существуют различные виды реализации VPN - туннелирования:
- VPN на базе маршрутизаторов
- VPN на базе сетевых операционных систем
- VPN на базе межсетевых экранов
- VPN на базе специализированного программного обеспечения
До недавнего времени для создания VPN наиболее широко применялся протокол канального уровня L2TP. Он обеспечивает инкапсулирование протоколов сетевого уровня (NetBIOS, IPX, IP и др.) в пакеты канального уровня (PPP). Этот протокол обладает рядом преимуществ:
- независимость от транспортного уровня, позволяющая использовать его в гетерогенных сетях.
- поддержка в ОС Windows 2000, позволяющая строить комбинированные VPN.
На сегодняшний день одним из самых проработанных и совершенных Интернет-протоколов для построения VPN является протокол IPSec (IP Security). Он обеспечивает аутентификацию, проверку целостности и шифрование сообщений на уровне каждого пакета. Для управления криптографическими ключами IPSec использует протокол IKE*.Пожалуй, самым основным преимуществом IPSec является то, что это протокол сетевого уровня. VPN, построенные на его базе, работают абсолютно прозрачно для всех приложений, сетевых сервисов, а также для сетей передачи данных канального уровня. IPSec позволяет маршрутизировать зашифрованные пакеты сетям без дополнительной настройки промежуточных маршрутизаторов, поскольку он сохраняет, принятый в IPv4, стандартный IP-заголовок.
(*) IKE - Internet Key Exchange - протокол обмена Интернет-ключами. Этот протокол предусматривает три метода аутентификации для защиты данных и каналов связи и позволяет кодировать заголовки и содержимое пакетов, обеспечивая практически абсолютную безопасность линии связи. В соответствии с протоколом IKE пакеты шифруются с помощью секретного ключа, заранее известного обеим сторонам, или с помощью стандартного открытого ключа. Кроме того, IKE поддерживает использование цифровых сертификатов, создаваемых такими специализированными организациями, как VeriSign, и обеспечивающих еще более высокий уровень защиты.
Маршрутизатор D-Link DI-804HV полностью поддерживает протокол IPSec. При помощи этого маршрутизатора возможно организовать до 40 туннелей IPSec. В последнюю версию прошивки DI-804HV включена поддержка Dynamic VPN, позволяющая осуществлять VPN подключение к корпоративной сети мобильным хостам с непостоянными IP-адресами. DI-804HV предоставляет гибкую и недорогую реализацию VPN для обеспечения сохранности корпоративных данных.
Практика
Итак, перед нами стоит задача: объединить при помощи VPN-туннеля сети главного и удалённого офисов, с тем, чтобы обеспечить безопасный обмен корпоративными данными, а также прозрачный защищённый доступ к Intranet-ресурсам сети главного офиса пользователям сети удалённого офиса через небезопасный Интернет. Оба офиса имеют выделенное подключение к Интернет с реальными статическими IP- адресами. Для осуществления задачи у нас есть два маршрутизатора D-link DI-804HV.
Вот как выглядит схема, которую нам предстоит реализовать(Все IP-адреса и другие сетевые настройки выдуманы для примера. Естественно, вместо них нужно вписать свои соответствующие настройки):
Реализация поставленных задач.
Шаг 1. Конфигурируем первый DI-804HV. Запускаем браузер, заходим на наш маршрутизатор и настраиваем WAN (внешний IP) и LAN (внутренний IP маршрутизатора).
Примечание:
- не забываем отключить в браузере использование прокси-сервера, если таковая настройка имеется.
- внутренний IP -адрес у DI-804HV по умолчанию - 192.168.0.1, поэтому компьютеру, с которого конфигурируется DI-804HV, нужно назначить IP- адрес типа 192.168.0.х
- Логин по умолчанию - "admin" , пароль пустой.
- Для того чтобы внести изменения в конфигурацию маршрутизатора, после всех необходимых манипуляций на соответствующей странице веб-интерфейса нужно нажать кнопку "Apply" и затем "Restart".
Выбираем статический IP - адрес. Указываем внешний IP, маску подсети, шлюз по умолчанию, первичный и вторичный DNS.