Arrow
Arrow
Slider

VPN на базе DI-804HV: теория, практика, эксперименты

VPN на базе DI-804HVСтатья посвящена построению VPN. В ней содержатся теоретические данные о виртуальных частных сетях, практическое руководство по созданию VPN-туннеля между двумя удалёнными офисами на базе маршрутизаторов DI-804HV, изложены некоторые идеи о возможном применении виртуальных частных сетей, а также представлены экспериментальные данные касающиеся производительности DI-804HV.

Теория VPN
Так исторически сложилось, что под одним термином VPN понимаются две различные по своим целям, задачам и используемым алгоритмам информационные технологии:


  • технологии обеспечения гарантированного качества обслуживания для корпоративного трафика, транспортируемого через публичные сети.
  • технологии обеспечения информационной безопасности корпоративного трафика передаваемого через публичные сети (например, интернет).
К первой группе VPN-технологий относятся различные специализированные технологии управления QoS (RSVP, DiffServ, MPLS), а также некоторые базовые сетевые технологии с уже встроенными элементами QoS (ATM, Frame relay). Вторая группа VPN-технологий выполняет функции авторизации абонентов корпоративных сетей и функции криптографической защиты передаваемых данных. Как правило, технологии этой группы представляют собой различные реализации механизма инкапсуляции стандартных сетевых пакетов канального (технологии PPTP, L2F, L2TP) сетевого (технологии SKIP, IPSec/IKE) и вышележащих уровней модели OSI/ISO (технологии SOCKS, SSL/TLS). Эти технологии стремительно развиваются и уже сегодня используются для создания распределённых защищённых сетей. В дальнейшем речь пойдёт именно о них.

Следует отметить, что существуют различные виды реализации VPN - туннелирования:

  • VPN на базе маршрутизаторов
  • VPN на базе сетевых операционных систем
  • VPN на базе межсетевых экранов
  • VPN на базе специализированного программного обеспечения
У каждого из вышеперечисленных решений есть свои достоинства и недостатки. Так как мы собираемся строить VPN-туннель на базе маршрутизаторов D-Link DI-804HV, то поговорим о решениях на базе маршрутизаторов.

До недавнего времени для создания VPN наиболее широко применялся протокол канального уровня L2TP. Он обеспечивает инкапсулирование протоколов сетевого уровня (NetBIOS, IPX, IP и др.) в пакеты канального уровня (PPP). Этот протокол обладает рядом преимуществ:

  • независимость от транспортного уровня, позволяющая использовать его в гетерогенных сетях.
  • поддержка в ОС Windows 2000, позволяющая строить комбинированные VPN.
Однако L2TP имеет очень серьёзный недостаток, обусловленный его "канальной природой": для гарантированной передачи защищённого пакета через составные сети все промежуточные маршрутизаторы должны поддерживать этот протокол, что является практически невыполнимым условием, ограничивающим его применение.
На сегодняшний день одним из самых проработанных и совершенных Интернет-протоколов для построения VPN является протокол IPSec (IP Security). Он обеспечивает аутентификацию, проверку целостности и шифрование сообщений на уровне каждого пакета. Для управления криптографическими ключами IPSec использует протокол IKE*.Пожалуй, самым основным преимуществом IPSec является то, что это протокол сетевого уровня. VPN, построенные на его базе, работают абсолютно прозрачно для всех приложений, сетевых сервисов, а также для сетей передачи данных канального уровня. IPSec позволяет маршрутизировать зашифрованные пакеты сетям без дополнительной настройки промежуточных маршрутизаторов, поскольку он сохраняет, принятый в IPv4, стандартный IP-заголовок.

(*) IKE - Internet Key Exchange - протокол обмена Интернет-ключами. Этот протокол предусматривает три метода аутентификации для защиты данных и каналов связи и позволяет кодировать заголовки и содержимое пакетов, обеспечивая практически абсолютную безопасность линии связи. В соответствии с протоколом IKE пакеты шифруются с помощью секретного ключа, заранее известного обеим сторонам, или с помощью стандартного открытого ключа. Кроме того, IKE поддерживает использование цифровых сертификатов, создаваемых такими специализированными организациями, как VeriSign, и обеспечивающих еще более высокий уровень защиты.

Маршрутизатор D-Link DI-804HV полностью поддерживает протокол IPSec. При помощи этого маршрутизатора возможно организовать до 40 туннелей IPSec. В последнюю версию прошивки DI-804HV включена поддержка Dynamic VPN, позволяющая осуществлять VPN подключение к корпоративной сети мобильным хостам с непостоянными IP-адресами. DI-804HV предоставляет гибкую и недорогую реализацию VPN для обеспечения сохранности корпоративных данных.

Практика
Итак, перед нами стоит задача: объединить при помощи VPN-туннеля сети главного и удалённого офисов, с тем, чтобы обеспечить безопасный обмен корпоративными данными, а также прозрачный защищённый доступ к Intranet-ресурсам сети главного офиса пользователям сети удалённого офиса через небезопасный Интернет. Оба офиса имеют выделенное подключение к Интернет с реальными статическими IP- адресами. Для осуществления задачи у нас есть два маршрутизатора D-link DI-804HV.
Вот как выглядит схема, которую нам предстоит реализовать(Все IP-адреса и другие сетевые настройки выдуманы для примера. Естественно, вместо них нужно вписать свои соответствующие настройки):
Схема VPN-туннеля
Реализация поставленных задач.

Шаг 1. Конфигурируем первый DI-804HV. Запускаем браузер, заходим на наш маршрутизатор и настраиваем WAN (внешний IP) и LAN (внутренний IP маршрутизатора).

Примечание:

  • не забываем отключить в браузере использование прокси-сервера, если таковая настройка имеется.
  • внутренний IP -адрес у DI-804HV по умолчанию - 192.168.0.1, поэтому компьютеру, с которого конфигурируется DI-804HV, нужно назначить IP- адрес типа 192.168.0.х
  • Логин по умолчанию - "admin" , пароль пустой.
  • Для того чтобы внести изменения в конфигурацию маршрутизатора, после всех необходимых манипуляций на соответствующей странице веб-интерфейса нужно нажать кнопку "Apply" и затем "Restart".

Выбираем статический IP - адрес. Указываем внешний IP, маску подсети, шлюз по умолчанию, первичный и вторичный DNS.