Типы VPN-соединений в Keenetic – Keenetic
VPN (Virtual Private Network; виртуальная частная сеть) — обобщенное название технологий, позволяющих обеспечить одно или несколько сетевых соединений (туннелей) поверх другой сети (например Интернет).
Существует много причин для использования виртуальных частных сетей. Наиболее типичные из них — безопасность и конфиденциальность данных. С использованием средств защиты данных в виртуальных частных сетях гарантируется конфиденциальность исходных пользовательских данных.
Известно, что сети, использующие протокол IP (Internet Protocol), имеют «слабое место», обусловленное самой структурой протокола. Он не имеет средств защиты передаваемых данных и не может гарантировать, что отправитель является именно тем, за кого себя выдает. Данные в сети, использующей протокол IP, могут быть легко подделаны или перехвачены.
Если вы из Интернета подключаетесь к собственному домашнему серверу, файлам USB-накопителя, подключенного к роутеру, видеорегистратору или по протоколу RDP к рабочему столу компьютера, рекомендуем использовать VPN-соединение.
Интернет-центры Keenetic поддерживают следующие типы VPN-соединений:
- PPTP/SSTP
- L2TP over IPSec (L2TP/IPSec)
- WireGuard
- OpenVPN
- IPSec
- IKEv2
- GRE/IPIP/EoIP *
- IPSec Xauth PSK (Virtual IP)
С помощью интернет-центра Keenetic ваша домашняя сеть может быть подключена по VPN к публичному VPN-сервису, сети офиса или другого интернет-центра Keenetic при любом способе доступа в Интернет.
Во всех моделях Keenetic реализованы как VPN клиенты/серверы для безопасного доступа: PPTP, L2TP over IPSec, IKEv2, Wireguard, OpenVPN, SSTP, так и туннели для объединения сетей: Site-to-Site IPSec, EoIP (Ethernet over IP), GRE, IPIP (IP over IP).
* — настройка туннелей EoIP, GRE и IPIP доступна только через интерфейс командной строки (CLI) интернет-центра.
В зависимости от применяемых протоколов и назначения, VPN может обеспечивать соединения разных сценариев: хост-хост, хост-сеть, хосты-сеть, клиент-сервер, клиенты-сервер, роутер-роутер, роутеры-роутер (vpn concentrator), сеть-сеть (site-to-site).
Если вы не знаете, какой тип VPN выбрать, приведенные ниже таблицы и рекомендации помогут в этом.
Тип VPN | Клиент | Сервер | Аппаратное ускорение * | Количество одновременных подключений |
PPTP | + | + | — | Клиент: до 128 Сервер: до 100/150/200 в зависимости от модели ** |
SSTP | + | + | — | |
L2TP over IPSec | + | + | + | Клиент: до 128 Сервер: ограничение отсутствует |
WireGuard | + | + | — | до 32 *** |
IPSec | + | + | + | ограничение отсутствует **** |
IKEv2 | + | + | + | до 32 |
GRE/IPIP/EoIP | + | + | — | до 128 |
OpenVPN | + | + | — | до 32 (до 128 для Peak) |
IPSec Xauth PSK | — | + | + | до 32 |
* — для моделей Runner 4G, Start, 4G, Lite, Omni, City, Air, Extra используется ускорение только работы алгоритма AES, а в моделях Viva, Ultra, Giga, Giant, Hero 4G, DUO, DSL, Peak используется аппаратное ускорение всего протокола IPSec.
** — до 200 для Peak, Giant, Giga и Ultra; до 150 для DSL и Duo; до 100 для Start, 4G, Lite, Omni, City, Air, Extra и Zyxel Keenetic Air, Extra II, Start II, Lite III Rev.B, 4G III Rev.B.
*** — с версии KeeneticOS 3.7 будет увеличено число подключений WireGuard для Peak до 128 и для Giga, Ultra, Viva, Hero 4G, Giant и Speedster до 48.
**** — до версии KeeneticOS 3.3 ограничение составляло до 10 подключений для Giga, Ultra и до 5 для всех остальных моделей.
NOTE: Важно! Число клиентских подключений ограничивается выделенным служебным размером раздела памяти объемом 24 Кбайта для хранения VPN-конфигураций. Особенно это актуально для OpenVPN-соединений, т.к. суммарный размер их конфигураций не должен превышать 24 Кбайта.
Тип VPN | Уровень сложности | Уровень защиты данных | Скорость** | Ресурсо емкость | Интеграция в ОС |
PPTP | для обычных пользователей | низкий | средняя, высокая без MPPE | низкая | Windows, macOS, Linux, Android, iOS (до версии 9 вкл.) |
SSTP | для обычных пользователей | высокий | средняя, низкая при работе через облако | средняя | Windows |
L2TP over IPSec | для обычных пользователей | высокий | высокая, средняя на младших моделях | высокая | Windows, macOS, Linux, Android, iOS |
WireGuard | для опытных пользователей | очень высокий | высокая | низкая | отсутствует* |
IPSec | для профессионалов | очень высокий | высокая | высокая | Windows, macOS, Linux, Android, iOS |
IKEv2 | для обычных пользователей | высокий | высокая | высокая | Windows, macOS, Linux, iOS |
OpenVPN | для опытных пользователей | очень высокий | низкая | очень высокая | отсутствует* |
IPSec Xauth PSK | для обычных пользователей | высокий | высокая | высокая | Android, iOS |
* — для организации подключения понадобится установить дополнительное бесплатное ПО в операционных системах Windows, macOS, Linux, Android, iOS.
** — представлены относительные величины, а не конкретные цифры, т.к. скорости для VPN-подключений зависят от моделей и целого ряда факторов — типа используемых алгоритмов шифрования, числа одновременных подключений, типа подключения к Интернету и скорости интернет-канала, от загрузки интернет-канала, нагрузки на сервер и других факторов. Низкой будем называть скорость до 15 Мбит/с, средняя в районе 30 — 50 Мбит/с и высокая — свыше 70 Мбит/с.
Тип VPN | Плюсы | Минусы |
PPTP | популярность, широкая совместимость с клиентами | невысокий уровень защиты данных, в сравнении с другими протоколами VPN |
SSTP | возможность работы VPN-сервера при наличии «серого» IP для доступа в Интернет *, использование протокола HTTPS (TCP/443) | встроенный клиент только в ОС Windows, низкая скорость передачи данных при работе через облако |
L2TP over IPSec | безопасность, стабильность, широкая совместимость с клиентами, простая настройка | используются стандартные порты, что позволяет провайдеру или системному администратору заблокировать трафик |
WireGuard | современные протоколы безопасности данных, низкая ресурсоемкость, высокая скорость передачи данных | не входит в состав современных ОС, разработка является экспериментальной и может проявляться нестабильность |
IPSec | надежность, очень высокий уровень защиты данных | сложность настройки для обычных пользователей |
IKEv2 | надежность, высокий уровень защиты данных, простая настройка, поддержка на устройствах Blackberry | не входит в состав Android (для подключения нужно использовать дополнительное бесплатное ПО), используются стандартные порты, что позволяет провайдеру или администратору блокировать трафик |
OpenVPN | не входит в состав современных ОС, очень ресурсоемкий, невысокие скорости передачи данных | |
IPSec Xauth PSK | безопасность, входит в состав современных мобильных ОС | отсутствие поддержки клиентов в ОС для ПК |
* — данная возможность реализована на нашем облачном сервере как специальное программное расширение и доступна только для пользователей интернет-центров Keenetic.
Для обычных пользователей для использования удаленных подключений клиенты-сервер мы рекомендуем:
- L2TP over IPSec (L2TP/IPSec), PPTP, IKEv2, IPSec Xauth PSK, SSTP
В ряде моделей Keenetic передача данных по IPSec (в том числе L2TP over IPSec и IKEv2) ускоряется аппаратно с помощью процессора устройства, что обеспечивает высокие скорости передачи данных. В таком туннеле можно абсолютно не волноваться о конфиденциальности IP-телефонии или потоков видеонаблюдения.
В качестве самого оптимального универсального варианта можно считать L2TP/IPSec.
Если же интернет-провайдер предоставляет вам только частный «серый» IP-адрес для работы в Интернете, и нет возможности получить публичный IP, вы всё-равно сможете организовать удаленный доступ к своей домашней сети, используя VPN-сервер SSTP. Основным преимуществом туннеля SSTP является его способность работать через облако, т.е. он позволяет установить подключение между клиентом и сервером, даже при наличии «серых» IP-адресов с обеих сторон. Все остальные VPN-сервера требуют наличия публичного «белого» IP-адреса. Обращаем ваше внимание, что данная возможность реализована на нашем облачном сервере и доступно только для пользователей Keenetic.
Для опытных пользователей к этому списку можно добавить:
OpenVPN очень популярен, но чрезвычайно ресурсоемкий и не имеет особых преимуществ против IPSec. В интернет-центре Keenetic для подключения OpenVPN реализованы такие возможности как режим TCP и UDP, аутентификация TLS, использование сертификатов и ключей шифрования для повышения уровня безопасности VPN-подключения.
Современный протокол WireGuard сделает работу с VPN проще и быстрее (в несколько раз в сравнении с OpenVPN) без наращивания мощности железа в устройстве.
Для объединения сетей и организации Site-to-Site VPN используйте:
- IPSec, L2TP over IP (L2TP/IPSec), WireGuard
Для решения специализированных задач по объединению сетей:
IPSec является одним из самых безопасных протоколов VPN за счет использования криптостойких алгоритмов шифрования. Он является идеальным вариантом для создания подключений типа Site-to-Site VPN для объединения сетей. Кроме этого для профессионалов и опытных пользователей имеется возможность создавать туннели IPIP, GRE, EoIP как в простом виде, так и в сочетании с туннелем IPSec, что позволит использовать для защиты этих туннелей стандарты безопасности IPSec VPN. Поддержка туннелей IPIP, GRE, EoIP позволяет установить VPN-соединение с аппаратными шлюзами, Linux-маршрутизаторами, компьютерами и серверами с ОС UNIX/Linux, а также с другим сетевым и телекоммуникационным оборудованием, имеющих поддержку указанных туннелей. Настройка туннелей данного типа доступна только в интерфейсе командной строки (CLI) интернет-центра.
Дополнительную информацию, по настройке разных типов VPN в интернет-центрах Keenetic, вы найдете в инструкциях:
Виды VPN-соединений (PPTP, L2TP, IPSec, SSL)
Что такое Виртуальная частная сеть (VPN)?
Раньше для осуществления безопасной передачи данных возникала необходимость в выделенной линии, связывающей два пункта. Расходы на организацию таких линий довольно велики.
Виртуальная частная сеть дает пользователям безопасный способ доступа к ресурсам корпоративной сети через Интернет или другие общественные или частные сети без необходимости выделения линии.
Безопасная частная виртуальная сеть представляет собой совокупность технологий/служб туннелирования, аутентификации, управления доступом и контроля, используемых для защиты данных и передачи трафика через Интернет.
Существует много причин для использования виртуальных частных сетей. Наиболее типичны следующие из них:
Безопасность (защита данных).
С помощью аутентификации получатель сообщения, являющийся пользователем виртуальной частной сети, может отслеживать источник полученных пакетов и обеспечить целостность данных.
С средств защиты данных в виртуальных частных сетях гарантируется конфиденциальность исходных пользовательских данных.
Стоимость (снижение количества линий доступа и уменьшение расходов на междугороднюю телефонную связь).
Организация виртуальной частной сети позволяет компании передавать данные через линии доступа к Интернету, таким образом уменьшая необходимость в некоторых из существующих линий.
При организации виртуальной частной сети снижаются расходы на междугороднюю телефонную связь, поскольку пользователь обычно получает услуги от местного Интернет-провайдера, а не совершает междугородний звонок для установления прямой связи с компанией.
Известно, что сети, использующие протокол IP, имеют «слабое место», обусловленное самой структурой протокола IP. Разработчики IP не намеревались обеспечивать каких-либо функций безопасности на уровне IP, а гибкость IP позволяет хитроумно использовать особенности данного протокола в целях преодоления контроля за трафиком, управления доступом и других мер безопасности. Поэтому данные в сети, использующей протокол IP, могут быть легко подделаны или перехвачены.
При туннелировании для передачи по сети протокольных пакетов сети одного типа они вставляются или инкапсулируются в протокольные пакеты другой сети. Это обеспечивает безопасность при передаче данных.
Протоколы для построения VPN-туннеля:
PPTPPPTP (Point-to-Point Tunneling Protocol) — туннельный протокол типа точка-точка, позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой сети. Протокол PPTP позволяет инкапсулировать (упаковывать или скрыть от использования) пакеты PPP в пакеты протокола Internet Protocol (IP) и передавать их по сетям IP (в том числе и Интернет).
PPTP обеспечивает безопасную передачу данных от удаленного клиента к отдельному серверу предприятия путем создания в сети TCP/IP частной виртуальной сети. PPTP может также использоваться для организации туннеля между двумя локальными сетями. PPTP работает, устанавливая обычную PPP-сессию с противоположной стороной с помощью протокола Generic Routing Encapsulation (GRE). Второе соединение на TCP порту 1723 используется для инициации и управления GRE-соединением. Для защиты данных PPTP-трафика может быть использован протокол MPPE. Для аутентификация клиентов могут использоваться различные механизмы, наиболее безопасные из них — MSCHAPv2 и EAP-TLS.
Для обеспечения работы клиента по протоколу PPTP, необходимо установить IP-соединение с туннельным сервером PPTP. Все передаваемые по этому соединению данные могут быть защищены и сжаты. По туннелю PPTP могут передаваться данные различных протоколоыв сетевого уровня (TCP/IP, NetBEUI и IPX).
Преимущества протокола PPTP:
- Использование частного IP-адреса. Пространство IP-адресов частной сети не должно координироваться с пространством глобальных (внешних) адресов.
- Поддержка множества протоколов. Можно осуществлять доступ к частным сетям, использующим различные комбинации TCP/IP или IPX.
- Безопасность передачи данных. Для предотвращения несанкционированного подключения используются протоколы и политики обеспечения безопасности сервера удаленного доступа.
- Возможность использования аутентификации и защиты данных при передачи пакетов через Интернет.
L2TP (Layer 2 Tunneling Protocol) — протокол туннелирования уровня 2 (канального уровня). Объединяет протокол L2F (Layer 2 Forwarding), разработанный компанией Cisco, и протокол PPTP корпорации Microsoft. Позволяет организовывать VPN с заданными приоритетами доступа, однако не содержит в себе средств для защиты данных и механизмов аутентификации.
Протокол L2TP использует сообщения двух типов: управляющие и информационные сообщения. Управляющие сообщения используются для установления, поддержания и ликвидации туннелей и вызовов. Для обеспечения доставки ими используется надежный управляющий канал протокола L2TP. Информационные сообщения используются для инкапсулирования кадров PPP, передаваемых по туннелю. При потере пакета он не передается повторно.
Структура протокола описывает передачу кадров PPP и управляющих сообщений по управляющему каналу и каналу данных протокола L2TP. Кадры PPP передаются по ненадежному каналу данных, предварительно дополняясь заголовком L2TP, а затем — по транспорту для передачи пакетов, такому как Frame Relay, ATM и т.п. Управляющие сообщения передаются по надежному управляющему каналу L2TP с последующей передачей по тому же транспорту для пересылки пакетов.
Все управляющие сообщения должны содержать порядковые номера, используемые для обеспечения надежной доставки по управляющему каналу. Информационные сообщения могут использовать порядковые номера для упорядочивания пакетов и выявления утерянных пакетов.
Преимущества протокола L2TP:
-
Разнообразие протоколов. Так как используется кадрирование PPP, удаленные пользователи могут использовать для доступа к корпоративому узлу большое количество различных протоколов, таких как IP, IPX и т.д.
-
Создание туннелей в различных сетях. L2TP может работать как в сетях IP, так и в сетях ATM, Frame Relay и др.
-
Безопасность передачи данных. При этом, пользователь не должен иметь никакого специального программного обеспечения.
-
Возможность аутентификации пользователей.
IPSec
IPSec (IP Security) — набор протоколов, касающихся вопросов обеспечения защиты данных при транспортировке IP-пакетов. IPSec также включает в себя протоколы для защищённого обмена ключами в сети Интернет. Протоколы IPSec работают на сетевом уровне (уровень 3 модели OSI).
Internet-протокол (IP) не имеет средств защиты передаваемых данных. Он даже не может гарантировать, что отправитель является именно тем, за кого он себя выдает. IPSec представляет собой попытку исправить ситуацию. При использовании IPSec весь передаваемый трафик может быть защищен перед передачей по сети. При использовании IPSec получатель сообщения может отслеживать источник полученных пакетов и удостовериться в целостности данных. Необходимо быть уверенным в том, что транзакция может осуществляться только один раз (за исключением случая, когда пользователь уполномочен повторять ее). Это означает, что не должно существовать возможности записи транзакции и последующего ее повторения в записи с целью создания у пользователя впечатления об осуществлении нескольких транзакций. Представьте себе, что мошенник получил информацию о трафике и знает, что передача такого трафика может дать ему какие-то преимущества (например, в результате на его счет будут переведены деньги). Необходимо обеспечить невозможность повторной передачи такого трафика.
С помощью виртуальной частной сети (VPN) можно решать следующие прикладные задачи:
- Виртуальная частная сеть между организациями
- Мобильный пользователь
- Пользователь SOHO
IPSec VPN оптимален для объединения сетей разных офисов через Интернет.
Можно устанавливать VPN-соединение с использованием протокола IPSec.
Для пользователей SMB/SOHO (Малый бизнес/Малый офис/Домашний офис):
- Экономическая эффективность
- Законченное решение для коммерческого использования
Для дистанционных пользователей:
- Интегрированное безопасное решение
- Нет необходимости в дополнительном программном обеспечении
- Простота конфигурирования
Для коллективных пользователей:
- Экономически эффективное решение для дистанционных пользователей и филиалов
- Совместимость с решениями большинства поставщиков решений для виртуальных частных сетей.
Существует две разновидности протокола IPSec: ESP (Encapsulation Security Payload, инкапсуляция защищенных данных) и AH (Authentication Header, Аутентифицирующий заголовок). ESP и AH — новые протоколы IP. О том, что пакет является пакетом ESP, говорит значение в поле протокола заголовка IP, равное 50, а для пакета AH — равное 51.
В пакетах ESP и AH между заголовком IP (IP header) и данными протокола верхнего уровня вставляется заголовок ESP/AH (ESP/AH header).
ESP может обеспечивать как защиту данных, так и аутентификацию, а также возможен вариант протокола ESP без использования защиты данных или без аутентификации. Однако, невозможно использовать протокол ESP одновременно без защиты данных и без аутентификации, поскольку в данном случае безопасность не обеспечивается. При осуществлении защиты передаваемых данных заголовок ESP не защищен, но защищены данные протокола верхнего уровня и часть трейлера ESP.
А в случае аутентификации производится аутентификация заголовка ESP, данных протокола верхнего уровня и части трейлера ESP.
Хотя протокол AH может обеспечивать только аутентификацию, она выполняется не только для заголовка AH и данных протокола верхнего уровня, но также и для заголовка IP.
Протоколы семейства IPSec могут использоваться для защиты либо всех полезных данных IP-пакета, либо данных протоколов верхнего уровня в поле полезных данных IP-пакета. Это различие определяется выбором двух различных режимов протокола IPSec: транспортного режима или туннельного режима.
Транспортный режим в основном используется хостом IP для защиты генерируемых им самим данных, а туннельный режим используется шлюзом безопасности для предоставления услуги IPSec другим машинам, не имеющим функций IPSec. Однако функции хоста IPSec и шлюза безопасности могут выполняться одной и той же машиной. Оба протокола IPSec, AH и ESP, могут выполняться в транспортном или туннельном режиме.
SSL VPN
SSL (Secure Socket Layer) протокол защищенных сокетов, обеспечивающий безопасную передачу данных по сети Интернет. При его использовании создается защищенное соединение между клиентом и сервером.
SSL использует защиту данных с открытым ключом для подтверждения подлинности передатчика и получателя. Поддерживает надёжность передачи данных за счёт использования корректирующих кодов и безопасных хэш-функций.
SSL использует RC4, MD5, RSA и другие алгоритмы защиты данных.
SSL использует два ключа для защиты данных — открытый ключ и закрытый или частный ключ известный только получателю сообщения.
На сегодняшний день, в сети Интернет можно встретить множество сайтов на которых используется протокол SSL для обеспечения безопасности пользовательских данных (например, веб-сайты предоставляющие коммерческие и банковские сервисы). Практически все самые популярные браузеры, почтовые клиенты и интернет-приложения поддерживают работу с протоколом SSL. Для доступа к страницам, защищённым протоколом SSL, в URL вместо обычного префикса http, как правило, применяется префикс https (порт 443), указывающий на то, что будет использоваться SSL-соединение.
SSL также может обеспечить защиту протоколов прикладного уровня (уровень 7 модели OSI), например, таких как POP3 или FTP. Для работы SSL требуется, чтобы на сервере имелся SSL-сертификат.
Безопасное соединение между клиентом и сервером при использовании SSL выполняет две функции — аутентификацию и защиту данных.
SSL состоит из двух уровней. На нижних уровнях (уровни 4-5) многоуровневого транспортного протокола (например, TCP) он является протоколом записи и используется для инкапсуляции (то есть формирования пакета) различных протоколов. Для каждого инкапсулированного протокола он обеспечивает условия, при которых сервер и клиент могут подтверждать друг другу свою подлинность, выполнять защиту передаваемых данных и производить обмен ключами, прежде чем протокол прикладной программы начнет передавать и получать данные.
Преимущества протокола SSL:
- Простота использования
- Нет необходимости в дополнительном программном обеспечении
- Безопасный удаленный доступ
SSL VPN оптимален для подключения удаленных пользователей к ресурсам локальной сети офиса через Интернет.
Источник
Типы VPN-подключений (Windows 10) — Microsoft 365 Security
- Чтение занимает 2 мин
В этой статье
Относится к:
- Windows 10
- Windows 10 Mobile
Виртуальные частные сети (VPN) — это соединения точка-точка в частной или общедоступной сети, например в Интернете. VPN-клиент использует специальные протоколы на основе TCP/IP или UDP, которые называют протоколами тунеллирования, для виртуального вызова виртуального порта VPN-сервера. В стандартом развертывании VPN клиент инициирует виртуальное соединение точка-точка с сервером удаленного доступа через Интернет. Сервер удаленного доступа отвечает на вызов, проверяет подлинность вызывающей стороны и передает данные между VPN-клиентом и частной сетью организации.
Существует множество вариантов VPN-клиентов. В Windows 10 встроенный подключаемый модуль и платформа подключаемых модулей VPN универсальной платформы Windows (UWP) основаны на VPN-платформе Windows. В этом руководстве рассматриваются клиенты VPN-платформы Windows и возможности, которые можно настроить.
Встроенный клиент VPN
Протоколы тунеллирования
IKEv2
Настройте свойства шифрования туннеля IPsec/IKE с помощью параметр Пакет средств криптографической защиты в разделе Поставщик службы конфигурации (CSP) VPNv2.
L2TP
L2TP с проверкой подлинности с общим ключом (PSK) можно настроить с помощью параметра L2tpPsk в разделе VPNv2 CSP.
PPTP
SSTP
SSTP поддерживается только в выпусках Windows для настольных компьютеров. SSTP невозможно настроить с помощью решения управления мобильными устройствами (MDM), но это один из протоколов, который система пытается использовать, если выбран параметр Автоматически.
Примечание
Когда используется VPN-плагин, адаптер будет указан как адаптер SSTP, несмотря на то, что протокол VPN, используемый, является протоколом подключаемого подключения.
Автоматически
Параметр Автоматически означает, что устройство будет пытаться использовать каждый из встроенных протоколов тунеллирования до успешного подключения. Перебор идет от наиболее безопасного до наименее безопасного.
Выберите значение Автоматически для параметра NativeProtocolType в разделе VPNv2 CSP.
Подключаемый модуль VPN универсальной платформы Windows
Подключаемые модули VPN универсальной платформы Windows (UWP) были представлены в Windows 10, хотя первоначально отдельные версии были доступны для платформ Windows 8. 1 Mobile и Windows 8.1. При использовании платформы UWP сторонние поставщики VPN могут создавать подключаемые модули, размещаемые в контейнере приложений, с помощью API-интерфейсов WinRT, что упрощает процесс и устраняет проблемы, связанные с написанием драйверов системного уровня.
Существует ряд VPN-приложений универсальной платформы Windows, такие как Pulse Secure, Cisco AnyConnect, F5 Access, Sonicwall Mobile Connect и Check Point Capsule. Если вы хотите использовать подключаемый модуль VPN платформы UWP, обратитесь к поставщику за сведения о настройке вашего решения VPN.
Настройка типа подключения
Сведения о настройке XML см. в разделе Параметры профиля VPN и VPNv2 CSP.
На следующем изображении показаны параметры подключения в политике конфигурации профилей VPN с помощью Microsoft Intune:
В Intune можно также включить настраиваемый XML для сторонних профилей подключаемого подключения:
R10#sh run | i isakmp key crypto isakmp key cisco address 0.0.0.0 0.0.0.0</p | ||
*Sep 3 09:14:30.659: ISAKMP:(1010): retransmitting phase 1 MM_KEY_EXCH… *Sep 3 09:14:30.663: ISAKMP (1010): incrementing error counter on sa, attempt 3 of 5: retransmit phase 1 *Sep 3 09:14:30.663: ISAKMP:(1010): retransmitting phase 1 MM_KEY_EXCH *Sep 3 09:14:30.663: ISAKMP:(1010): sending packet to 192.168.0.2 my_port 500 peer_port 500 (I) MM_KEY_EXCH *Sep 3 09:14:30.663: ISAKMP:(1010):Sending an IKE IPv4 Packet. *Sep 3 09:14:30.711: ISAKMP (1010): received packet from 192.168.0.2 dport 500 sport 500 Global (I) MM_KEY_EXCH *Sep 3 09:14:30.715: ISAKMP:(1010): phase 1 packet is a duplicate of a previous packet. *Sep 3 09:14:50.883: ISAKMP:(1011): retransmitting due to retransmitphase 1 *Sep 3 09:14:51.383: ISAKMP:(1011): retransmitting phase 1 MM_KEY_EXCH… *Sep 3 09:14:51.387: ISAKMP:(1011):peer does not do paranoid keepalives. *Sep 3 09:14:51.387: ISAKMP:(1011):deleting SA reason «Death by retransmission P1» state ® MM_KEY_EXCH (peer 192.168.0.2) *Sep 3 09:14:51.395: ISAKMP:(1011):Input = IKE_MESG_INTERNAL, IKE_PHASE1_DEL | ||
HUB | Spoke1 | |
Настройка первой фазы IPSec для обмена сессионного ключа: crypto isakmp policy 1 hash md5 authentication pre-share group 5 crypto isakmp key cisco123 address 172.16.1.2 ! Настройка второй фазы IPSec c заданием алгоритма шифрования и аутентификации crypto ipsec transform-set Trans_HUB1_SP1 esp-aes 256 esp-md5-hmac ! crypto map HUB_SPOKEs 1 ipsec-isakmp set peer 172.16.1.2 set transform-set Trans_HUB1_SP1 match address TO_Spoke1 reverse-route static ! | crypto isakmp policy 1 hash md5 authentication pre-share group 5 crypto isakmp key cisco123 address 192.168.1.1 ! crypto ipsec transform-set Trans_SP1_HUB1 esp-aes 256 esp-md5-hmac ! crypto map SP1_HUB 1 ipsec-isakmp set peer 192.168.1.1 set transform-set Trans_SP1_HUB1 match address TO_HUB reverse-route static ! | |
Настройка заворачивания маршрутов в туннель | ||
ip access-list extended TO_Spoke1 permit ip 10.0.0.0 0.0.0.255 1.1.1.0 0.0.0.255 ! Interface Ethernet0/0 ip address 192.168.1.1 255.255.255.0 crypto map HUB_SPOKEs ! | ip access-list extended TO_HUB permit ip 1.1.1.0 0.0.0.255 10.0.0.0 0.0.0.255 ! Interface Ethernet0/0 ip address 172.16.1.1 255.255.255.0 crypto map SP1_HUB ! | |
HUB#ping 1.1.1.1 source 10.0.0.1 .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 4/4/5 ms | Spoke1#ping 10.0.0.1 source 1.1.1.1 .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 4/4/5 ms | |
Проверка сходимости VPN: | ||
Успешный обмен ключами: Spoke1#show crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id status 192.168.1.1 172.16.1.2 QM_IDLE 1007 ACTIVE Успешное прохождение трафика через VPN: Spoke1#show crypto ipsec sa interface: Ethernet0/0 Crypto map tag: SP1_HUB, local addr 172.16.1.2 protected vrf: (none) local ident (addr/mask/prot/port): (1.1.1.0/255.255.255.0/256/0) remote ident (addr/mask/prot/port): (10.0.0.0/255.255.255.0/256/0) current_peer 192.168.1.1 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4 #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 172.16.1.2, remote crypto endpt.: 192.168.1.1 path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0 current outbound spi: 0xA7424886(2806139014) PFS (Y/N): N, DH group: none | ||
HUB#sho crypto ipsec sa
interface: Ethernet0/0 Crypto map tag: HUB_SPOKEs, local addr 192.168.1.1 protected vrf: (none) local ident (addr/mask/prot/port): (10.0.0.0/255.255.255.0/256/0) remote ident (addr/mask/prot/port): (1.1.1.0/255.255.255.0/256/0) current_peer 172.16.1.2 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4 #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 192.168.1.1, remote crypto endpt.: 172.16.1.2 path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0 current outbound spi: 0x10101858(269490264) PFS (Y/N): N, DH group: none inbound esp sas: spi: 0xA7424886(2806139014) transform: esp-256-aes esp-md5-hmac , in use settings ={Tunnel, } conn id: 19, flow_id: SW:19, sibling_flags 80000040, crypto map: HUB_SPOKEs sa timing: remaining key lifetime (k/sec): (4360017/2846) IV size: 16 bytes replay detection support: Y Status: ACTIVE(ACTIVE) | ||
Настройка на HUB | Настройка на новом Spoke | |
HUB# crypto isakmp policy 1 hash md5 authentication pre-share group 5 crypto isakmp key cisco123 address 172.16.1.2 crypto isakmp key cisco456 address 172.16.2.3 ! ! crypto ipsec transform-set Trans_HUB1_SP1 esp-aes 256 esp-md5-hmac ! crypto map HUB_SPOKEs 1 ipsec-isakmp set peer 172.16.1.2 set peer 172.16.2.3 set transform-set Trans_HUB1_SP1 match address TO_Spokes reverse-route static ! ip access-list extended TO_Spokes permit ip 10.0.0.0 0.0.0.255 1.1.1.0 0.0.0.255 permit ip 10.0.0.0 0.0.0.255 2.2.2.0 0.0.0.255 т.е. для добавления N spoke-ов, нужно 3N дополнительный строчек | Настройка такая же как и на первом Spoke1 (с учетом поправки внутренних сетей в ACL) Spoke2# crypto isakmp policy 1 hash md5 authentication pre-share group 5 crypto isakmp key cisco456 address 192.168.1.1 ! ! crypto ipsec transform-set Trans_SP2_HUB1 esp-aes 256 esp-md5-hmac ! crypto map SP2_HUB 1 ipsec-isakmp set peer 192.168.1.1 set transform-set Trans_SP2_HUB1 match address TO_HUB reverse-route static ! ip access-list extended TO_HUB permit ip 2.2.2.0 0.0.0.255 10.0.0.0 0.0.0.255 | |
Проверка доступности второго удаленного офиса: HUB#ping 2.2.2.2 source 10.0.0.1 .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 4/4/5 ms На HUBе теперь появилась дополнительная сессия обмена ключами со вторым Spoke: HUB#sho crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id status 192.168.1.1 172.16.2.3 QM_IDLE 1009 ACTIVE 192.168.1.1 172.16.1.2 QM_IDLE 1008 ACTIVE Однако связи между офисами нет (даже через HUB). Spoke1#ping 2.2.2.2 source 1.1.1.1 ….. Success rate is 0 percent (0/5) | ||
HUB# crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac mode tunnel ! crypto ipsec profile Spokes_VPN_Profile set security-association lifetime seconds 86400 set transform-set 3DES-MD5 set reverse-route distance 1 reverse-route ! crypto dynamic-map hq-vpn 30 set profile Spokes_VPN_Profile match address VPN33-32-TRAFFIC crypto dynamic-map hq-vpn 3348 set profile Spokes_VPN_Profile match address VPN3348-TRAFFIC crypto dynamic-map hq-vpn 50 set profile Spokes_VPN_Profile match address VPN33-64-TRAFFIC ! crypto map VPN 1 ipsec-isakmp dynamic hq-vpn ! interface GigabitEthernet1/0 ip address 55.1.1.5 255.255.255.0 <omitted…> crypto map VPN ! ip access-list extended VPN33-32-TRAFFIC permit ip any 192.168.33.32 0.0.0.15 ip access-list extended VPN33-48-TRAFFIC permit ip any 192.168.33.48 0.0.0.15 ip access-list extended VPN33-64-TRAFFIC permit ip any 192.168.33.64 0.0.0.15 | Spoke# crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac mode tunnel ! crypto map VPN 1 ipsec-isakmp set peer 55.1.1.5 set transform-set 3DES-MD5 match address TO_HUB reverse-route static ! interface FastEthernet0/0 ip address negotiated <omitted…> crypto map VPN ! ip access-list extended TO_HUB permit ip 192.168.33.32 0.0.0.15 any | |
Настройка Static VTI через профайлы | ||
HUB# crypto isakmp policy 1 hash md5 authentication pre-share group 5 crypto isakmp key cisco123 address 172.16.1.2 ! crypto ipsec transform-set Trans_HUB_SP esp-aes esp-sha-hmac ! crypto ipsec profile P1 set transform-set Trans_HUB_SP ! interface Tunnel0 ip address 10.1.1.254 255.255.255.0 ip ospf mtu-ignore*(см.ниже) load-interval 30 tunnel source 192.168.1.1 tunnel mode ipsec ipv4 tunnel destination 172.16.1.2 tunnel protection ipsec profile P1 ! router ospf 1 network 10.0.0.0 0.0.0.255 area 0 network 10.1.1.0 0.0.0.255 area 0 | Spoke1# crypto isakmp policy 1 hash md5 authentication pre-share group 5 crypto isakmp key cisco123 address 192.168.1.1 ! crypto ipsec transform-set Trans_HUB_SP esp-aes esp-sha-hmac ! crypto ipsec profile P1 set transform-set Trans_HUB_SP ! interface Tunnel0 ip address 10.1.1.1 255.255.255.0 ip ospf mtu-ignore load-interval 30 tunnel source 172.16.1.2 tunnel mode ipsec ipv4 tunnel destination 192.168.1.1 tunnel protection ipsec profile P1 ! router ospf 1 network 1.1.1.0 0.0.0.255 area 0 network 10.1.1.0 0.0.0.255 area 0 | |
HUB#sh ip ospf neighbor Neighbor ID Pri State Dead Time Address Interface 1.1.1.1 0 FULL/ — 00:00:33 10.1.1.1 Tunnel0 Сеть на Spoke 1 теперь доступна через туннель HUB#sh ip route 1.0.0.0/32 is subnetted, 1 subnets O 1.1.1.1 [110/1001] via 10.1.1.1, 00:02:56, Tunnel0 10.0.0.0/8 is variably subnetted, 6 subnets, 2 masks C 10.0.0.0/24 is directly connected, Loopback0 L 10.0.0.1/32 is directly connected, Loopback0 C 10.0.1.0/24 is directly connected, Loopback1 L 10.0.1.1/32 is directly connected, Loopback1 C 10.1.1.0/24 is directly connected, Tunnel0 L 10.1.1.254/32 is directly connected, Tunnel0 Проверка доступности сетей в Центральном офисе со Spoke 1 Spoke1#ping 10.0.0.1 source 1.1.1.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 5/5/5 ms | ||
Spoke1#sho crypto ipsec sa interface: Tunnel0 Crypto map tag: Tunnel0-head-0, local addr 172.16.1.2 protected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/256/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/256/0) current_peer 192.168.1.1 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 76, #pkts encrypt: 76, #pkts digest: 76 #pkts decaps: 65, #pkts decrypt: 65, #pkts verify: 65 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 | ||
HUB#sho ip ospf neighbor Neighbor ID Pri State Dead Time Address Interface 2.2.2.2 0 FULL/ — 00:00:31 10.1.2.2 Tunnel1 1.1.1.1 0 FULL/ — 00:00:30 10.1.1.1 Tunnel0</p Маршруты на Spoke1 Spoke1#sh ip route Gateway of last resort is 172.16.1.5 to network 0.0.0.0 <…ommited…> C 1.1.1.0/24 is directly connected, Loopback0 L 1.1.1.1/32 is directly connected, Loopback0 2.0.0.0/32 is subnetted, 1 subnets O 2.2.2.2 [110/2001] via 10.1.1.254, 01:53:04, Tunnel0 <-СетьSpoke2 10.0.0.0/8 is variably subnetted, 5 subnets, 2 masks O 10.0.0.1/32 [110/1001] via 10.1.1.254, 02:04:11, Tunnel0 <-Сеть Головного офиса O 10.0.1.1/32 [110/1001] via 10.1.1.254, 02:04:11, Tunnel0 <-подсетьтуннеляHUB-Spoke1 C 10.1.1.0/24 is directly connected, Tunnel0 L 10.1.1.1/32 is directly connected, Tunnel0 O 10.1.2.0/24 [110/2000] via 10.1.1.254, 01:53:14, Tunnel0 <-подсетьтуннеляHUB-Spoke2 172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks Сообщение до второго удаленного офиса через Центральный офис: Spoke1#traceroute 2.2.2.2 Type escape sequence to abort. Tracing the route to 2.2.2.2 VRF info: (vrf in name/id, vrf out name/id) 1 10.1.1.254 5 msec 4 msec 5 msec 2 10.1.2.2 5 msec 10 msec * | ||
HUB# crypto keyring KEY_Dynamic_connection pre-shared-key address 0.0.0.0 0.0.0.0 key cisco123 ! crypto isakmp policy 1 hash md5 authentication pre-share group 5 crypto isakmp profile DVTI keyring KEY_Dynamic_connection match identity address 0.0.0.0 virtual-template 1 ! crypto ipsec transform-set Trans_HUB_SP esp-aes esp-sha-hmac ! crypto ipsec profile P1 set transform-set Trans_HUB_SP set isakmp-profile DVTI ! interface Loopback1 ip address 10.1.1.254 255.255.255.0 ! interface Virtual-Template1 type tunnel ip unnumbered Loopback1 ip ospf mtu-ignore tunnel mode ipsec ipv4 tunnel protection ipsec profile P1 ! router ospf 1 network 10.0.0.0 0.0.0.255 area 0 network 10.1.1.0 0.0.0.255 area 0 | Spoke1# crypto keyring KEY_Dynamic_connection pre-shared-key address 0.0.0.0 0.0.0.0 key cisco123 ! crypto isakmp policy 1 hash md5 authentication pre-share group 5 crypto isakmp profile DVTI keyring KEY_Dynamic_connection match identity address 0.0.0.0 ! crypto ipsec transform-set Trans_HUB_SP esp-aes esp-sha-hmac ! crypto ipsec profile P1 set transform-set Trans_HUB_SP set isakmp-profile DVTI ! interface Loopback1 ip address 10.1.1.1 255.255.255.0 interface Tunnel0 ip unnumbered Loopback1 ip ospf mtu-ignore tunnel source Ethernet0/0 tunnel mode ipsec ipv4 tunnel destination 192.168.1.1 tunnel protection ipsec profile P1 ! router ospf 1 network 1.1.1.0 0.0.0.255 area 0 network 10.1.1.0 0.0.0.255 area 0 | |
HUB#sh crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id status 192.168.1.1 172.16.2.3 QM_IDLE 1047 ACTIVE 192.168.1.1 172.16.1.2 QM_IDLE 1046 ACTIVE HUB# sh ip int br Interface IP-Address OK? Method Status Protocol Ethernet0/0 192.168.1.1 YES NVRAM up up Ethernet0/1 unassigned YES manual up up Ethernet0/2 unassigned YES NVRAM down down Ethernet0/3 unassigned YES manual up up Loopback0 10.0.0.1 YES manual up up Loopback1 10.1.1.254 YES manual up up Virtual-Access1 10.1.1.254 YES unset up up Virtual-Access2 10.1.1.254 YES unset up up Virtual-Template1 10.1.1.254 YES manual up down HUB#sho crypto ipsec sa interface: Virtual-Access2 Crypto map tag: Virtual-Access2-head-0, local addr 192.168.1.1 protected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/256/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/256/0) current_peer 172.16.1.2 port 500 interface: Virtual-Access1 Crypto map tag: Virtual-Access1-head-0, local addr 192.168.1.1 protected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/256/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/256/0) current_peer 172.16.2.3 port 500 | ||
HUB#sh ip ospf neighbor Все spoke-и находятся в одной сети! Neighbor ID Pri State Dead Time Address Interface 1.1.1.1 0 FULL/ — 00:00:32 10.1.1.1 Virtual-Access2 2.2.2.2 0 FULL/ — 00:00:35 10.1.1.2 Virtual-Access1
Маршруты Центрального Офиса HUB#sh ip route Gateway of last resort is not set 1.0.0.0/32 is subnetted, 1 subnets O 1.1.1.1 [110/2] via 10.1.1.1, 00:05:00, Virtual-Access2 <-СетьSpoke1 2.0.0.0/32 is subnetted, 1 subnets O 2.2.2.2 [110/2] via 10.1.1.2, 00:44:01, Virtual-Access1 <-СетьSpoke2 10.0.0.0/8 is variably subnetted, 6 subnets, 2 masks C 10.0.0.0/24 is directly connected, Loopback0 L 10.0.0.1/32 is directly connected, Loopback0 C 10.1.1.0/24 is directly connected, Loopback1 O 10.1.1.1/32 [110/2] via 10.1.1.1, 00:05:00, Virtual-Access2 <-ТуннельныеинтерфейсыSpoke1 O 10.1.1.2/32 [110/2] via 10.1.1.2, 00:44:01, Virtual-Access1 <-ТуннельныеинтерфейсыSpoke2 L 10.1.1.254/32 is directly connected, Loopback1 172.16.0.0/24 is subnetted, 3 subnets 192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.1.0/24 is directly connected, Ethernet0/0 L 192.168.1.1/32 is directly connected, Ethernet0/0
Маршруты на Spoke1: Spoke1#sh ip route Gateway of last resort is 172.16.1.5 to network 0.0.0.0
S* 0.0.0.0/0 [1/0] via 172.16.1.5 1.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 1.1.1.0/24 is directly connected, Loopback0 L 1.1.1.1/32 is directly connected, Loopback0 2.0.0.0/32 is subnetted, 1 subnets O 2.2.2.2 [110/1002] via 10.1.1.254, 00:05:38, Tunnel0 <-СетьSpoke2 10.0.0.0/8 is variably subnetted, 5 subnets, 2 masks O 10.0.0.1/32 [110/1001] via 10.1.1.254, 00:05:38, Tunnel0 <- СетиЦентральногоофиса C 10.1.1.0/24 is directly connected, Loopback1 L 10.1.1.1/32 is directly connected, Loopback1 O 10.1.1.2/32 [110/1002] via 10.1.1.254, 00:05:38, Tunnel0 <-ТуннельныйинтерфейсSpoke2 O 10.1.1.254/32 [110/1001] via 10.1.1.254, 00:02:26, Tunnel0 <-ТуннельныйинтерфейсHUBa 172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks C 172.16.1.0/24 is directly connected, Ethernet0/0 L 172.16.1.2/32 is directly connected, Ethernet0/0
Spoke1#traceroute 2.2.2.2 1 10.1.1.254 5 msec 5 msec 5 msec 2 10.1.1.2 9 msec 5 msec * Spoke1#traceroute 10.1.1.2 1 10.1.1.254 5 msec 5 msec 5 msec 2 10.1.1.2 5 msec 10 msec * | ||
Spoke1(config-if)#no shutdown *Aug 6 10:02:27.669: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON *Aug 6 10:02:27.702: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up *Aug 6 10:02:27.713: %OSPF-5-ADJCHG: Process 1, Nbr 10.0.0.1 on Tunnel0 from LOADING to FULL, Loading Done | ||
VPN_HUB# aaa new-model ! aaa authorization network LOCAL-AUTHOR local crypto isakmp policy 10 authentication pre-share group 2 ! crypto isakmp client configuration group VPN-CLIENT-GROUP key vpnclientcisco pool VPN-LOCAL-POOL acl 100 crypto isakmp profile PROFILE-ISAKMP match identity group VPN-CLIENT-GROUP isakmp authorization list LOCAL-AUTHOR client configuration address respond client configuration group VPN-CLIENT-GROUP virtual-template 1 ! crypto ipsec transform-set TRANSFORM-IPSEC esp-aes esp-sha-hmac ! crypto ipsec profile PROFILE-IPSEC set transform-set TRANSFORM-IPSEC set isakmp-profile PROFILE-ISAKMP interface Ethernet0/0 ip address 192.168.1.2 255.255.255.0 ip nat inside ip virtual-reassembly in ! interface Ethernet0/1 ip address 77.1.1.2 255.255.255.0 ip nat outside ip virtual-reassembly in ! interface Virtual-Template1 type tunnel ip unnumbered Ethernet0/1 ip nat inside ip virtual-reassembly in tunnel mode ipsec ipv4 tunnel protection ipsec profile PROFILE-IPSEC ! ip local pool VPN-LOCAL-POOL 172.16.40.1 172.16.40.100 ! ip nat inside source list TONAT interface Ethernet0/1 overload | (задаем ip адрес VPN HUBа, указываем VPN-группу, режим работы VPN-клиента и аутентификационные данные) VPN_Client# crypto ipsec client ezvpn EZVPN-CLIENT connect auto group VPN-CLIENT-GROUP key vpnclientcisco mode client peer 77.1.1.2 username cisco password cisco xauth userid mode local ! interface Ethernet0/0 ip address 172.16.1.7 255.255.255.0 crypto ipsec client ezvpn EZVPN-CLIENT ! interface Ethernet0/2 ip address 192.168.2.7 255.255.255.0 ip nat inside crypto ipsec client ezvpn EZVPN-CLIENT inside | |
Клиенту выдается автоматически IP VPN_Client#sh ip int br Interface IP-Address OK? Method Status Protocol Ethernet0/0 172.16.1.7 YES NVRAM up up Ethernet0/2 192.168.2.7 YES NVRAM up up Loopback0 7.7.7.7 YES NVRAM up up Loopback10000 172.16.40.49 YES TFTP up up NVI0 172.16.1.7 YES unset up up | ||
VPN_Client#sh ip nat statistics Total active translations: 0 (0 static, 0 dynamic; 0 extended) Peak translations: 0 Outside interfaces: Ethernet0/0 Inside interfaces: Ethernet0/2 Hits: 0 Misses: 0 CEF Translated packets: 0, CEF Punted packets: 0 Expired translations: 0 Dynamic mappings: — Inside Source [Id: 106] access-list EZVPN-CLIENT_internet-list interface Ethernet0/0 refcount 0 [Id: 105] access-list EZVPN-CLIENT_enterprise-list pool EZVPN-CLIENT refcount 0 pool EZVPN-CLIENT: netmask 255.255.255.0 start 172.16.40.49 end 172.16.40.49 type generic, total addresses 1, allocated 0 (0%), misses 0 | ||
VPN_Client#sh access-lists EZVPN-CLIENT_internet-list (нелокальныесетипускатьвинет) Extended IP access list EZVPN-CLIENT_internet-list 10 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 20 deny ip 192.168.2.0 0.0.0.255 2.2.2.0 0.0.0.255 30 permit ip 192.168.2.0 0.0.0.255 any ! VPN_Client#sh access-lists EZVPN-CLIENT_enterprise-list (локальныесетинатитьвназначенныйIP) Extended IP access list EZVPN-CLIENT_enterprise-list 10 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 20 permit ip 192.168.2.0 0.0.0.255 2.2.2.0 0.0.0.255 | ||
LNS# interface Tunnel1 ip address 10.3.7.3 255.255.255.0 tunnel source Ethernet0/1 tunnel destination 77.1.1.7 | LAC# interface Tunnel1 ip address 10.3.7.7 255.255.255.0 tunnel source Ethernet0/0 tunnel destination 55.1.1.3 | |
Если мы выбрали GRE, то воспользуемся сразу его преимуществом и настроим OSFP | ||
LNS# router ospf 1 network 10.3.9.0 0.0.0.255 area 0 network 10.3.7.0 0.0.0.255 area 0 network 192.168.1.0 0.0.0.255 area 0 | LAC# router ospf 1 network 10.3.7.0 0.0.0.255 area 0 network 172.30.1.0 0.0.0.255 area 0 | |
LAC#sh ip ospf neighbor Neighbor ID Pri State Dead Time Address Interface 3.3.3.3 0 FULL/ — 00:00:30 10.3.7.3 Tunnel1
Все маршруты, полученные через OSPF, теперь доступны через туннельный интерфейс.
LAC#sh ip route ospf
10.3.9.0/8 is variably subnetted, 3 subnets, 2 masks O 10.3.9.0/24 [110/2000] via 10.3.7.3, 00:19:02, Tunnel1 < — подсетьтуннеляR3 <-> R9 99.0.0.0/32 is subnetted, 1 subnets O 99.99.99.99 [110/2001] via 10.3.7.3, 00:19:02, Tunnel1 < — loopback наR9 O 192.168.1.0/24 [110/1010] via 10.3.7.3, 00:19:02, Tunnel1 < — локальная сеть HQ
LAC#ping 192.168.1.1 source 172.30.1.7 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 172.30.1.7 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms | ||
LNS# crypto isakmp policy 10 encr 3des authentication pre-share group 2 ! crypto isakmp key ipseckey123 address 77.1.1.7 ! crypto ipsec transform-set ESP-AES256-SHA1 esp-aes 256 esp-sha-hmac mode transport ! crypto map GREoverIPSec 5 ipsec-isakmp set peer 77.1.1.7 set transform-set ESP-AES256-SHA1 match address GRE ! ! Так как GRE помечается как тип трафика 47, то достаточно определить для шифрования весь трафик по порту 47 ip access-list extended GRE permit gre any any ! interface Ethernet0/1 ip address 55.1.1.3 255.255.255.0 crypto map GREoverIPSec | LAC# crypto isakmp policy 10 encr 3des authentication pre-share group 2 ! crypto isakmp key ipseckey123 address 55.1.1.3 ! crypto ipsec transform-set ESP-AES256-SHA1 esp-aes 256 esp-sha-hmac mode transport ! crypto map GREoverIPSec 5 ipsec-isakmp set peer 55.1.1.3 set transform-set ESP-AES256-SHA1 match address GRE ! ! ip access-list extended GRE permit gre any any ! interface Ethernet0/0 ip address 77.1.1.7 255.255.255.0 crypto map GREoverIPSec ! ! | |
LAC#ping 192.168.1.1 source 172.30.1.7 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 172.30.1.7 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 4/5/6 ms
Проверка сходимости IPSec LAC#sh crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id status 55.1.1.3 77.1.1.7 QM_IDLE 1001 ACTIVE Проверка установления политик безопасности (SA) LAC#sh crypto ipsec sa interface: Ethernet0/0 Crypto map tag: GREoverIPSec, local addr 77.1.1.7 protected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/47/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/47/0) current_peer 55.1.1.3 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 109, #pkts encrypt: 28559, #pkts digest: 28559 #pkts decaps: 184, #pkts decrypt: 28784, #pkts verify: 28784 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 77.1.1.7, remote crypto endpt.: 55.1.1.3 path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0 current outbound spi: 0xBCF71DA2(3170311586) PFS (Y/N): N, DH group: none | ||
LAC#sh ip ospf neighbor Neighbor ID Pri State Dead Time Address Interface 3.3.3.3 0 FULL/ — 00:00:31 10.3.7.3 Tunnel1 | ||
HUB# interface Tunnel1 description DMVPN_HUB /// настройка mGRE ip address 10.5.5.1 255.255.255.0 tunnel source FastEthernet0/0 tunnel mode gre multipoint tunnel key 111001 no ip redirects ip mtu 1416 /// настройка NHRP ip nhrp map multicast dynamic ip nhrp network-id 101 ip nhrp server-only
ip tcp adjust-mss 1376 end | Spoke# interface Tunnel1 ip address 10.5.5.3 255.255.255.0 no ip redirects ip mtu 1416 ip nhrp map multicast dynamic ip nhrp map multicast 192.168.1.1 (физ.адрес) ip nhrp map 10.5.5.1 192.168.1.1 ip nhrp network-id 101 ip nhrp nhs 10.5.5.1 (туннельный адрес) ip tcp adjust-mss 1380 keepalive 10 3 tunnel source FastEthernet0/0 tunnel mode gre multipoint tunnel key 111001 end | |
Spoke#sh dmvpn Legend: Attrb —> S — Static, D — Dynamic, I — Incomplete N — NATed, L — Local, X — No Socket # Ent —> Number of NHRP entries with same NBMA peer NHS Status: E —> Expecting Replies, R —> Responding, W —> Waiting UpDn Time —> Up or Down Time for a Tunnel ========================================================================== Interface: Tunnel1, IPv4 NHRP Details Type:Spoke, NHRP Peers:1, # Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb — — — — — —— 1 192.168.1.1 10.5.5.254 UP 00:02:59 S На HUBe видны два подключенных удаленных офиса: HUB#sh dmvpn Legend: Attrb —> S — Static, D — Dynamic, I — Incomplete N — NATed, L — Local, X — No Socket # Ent —> Number of NHRP entries with same NBMA peer NHS Status: E —> Expecting Replies, R —> Responding, W —> Waiting UpDn Time —> Up or Down Time for a Tunnel ========================================================================== Interface: Tunnel1, IPv4 NHRP Details Type:Hub, NHRP Peers:2, # Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb — — — — — —— 1 172.16.1.2 10.5.5.1 UP 00:04:08 D 1 172.16.2.3 10.5.5.2 UP 00:02:57 D Связка туннельного адреса и реального (физического) HUB#sh ip nhrp brief Target Via NBMA Mode Intfc Claimed 10.5.5.1/32 10.5.5.1 172.16.1.2 dynamic Tu1 < > 10.5.5.2/32 10.5.5.2 172.16.2.3 dynamic Tu1 < > | ||
Router#ping 10.5.5.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.5.5.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/5 ms
Смотрим установленные туннели на данный момент: Router#sh dmvpn Legend: Attrb —> S — Static, D — Dynamic, I — Incomplete N — NATed, L — Local, X — No Socket # Ent —> Number of NHRP entries with same NBMA peer NHS Status: E —> Expecting Replies, R —> Responding, W —> Waiting UpDn Time —> Up or Down Time for a Tunnel ========================================================================== Interface: Tunnel1, IPv4 NHRP Details Type:Spoke, NHRP Peers:2, # Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb — — — — — —— 1 172.16.2.3 10.5.5.2 UP 00:04:04 D 1 192.168.1.1 10.5.5.254 UP 00:09:31 S | ||
HUB | Spoke 1 | Spoke 2 |
BROADCAST | BROADCAST | BROADCAST |
HUB#sh ip ospf neighbor Neighbor I Pri State Dead Time Address Interface 1.1.1.1 0 FULL/DROTHER 00:00:34 10.5.5.1 Tunnel1 2.2.2.2 0 FULL/DROTHER 00:00:31 10.5.5.2 Tunnel1 Spoke_1#sh ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface 10.0.0.1 1 FULL/DR 00:00:36 10.5.5.254 Tunnel1 Spoke_1#sh ip ospf neighbor Neighbor ID Pri State Dead Time Address Interface 10.0.0.1 1 FULL/DR 00:00:36 10.5.5.254 Tunnel1 Известные маршруты на Spoke 1 через OSPF Spoke_1#sh ip route Gateway of last resort is 172.16.1.5 to network 0.0.0.0 S* 0.0.0.0/0 [1/0] via 172.16.1.5 1.0.0.0/32 is subnetted, 1 subnets C 1.1.1.1 is directly connected, Loopback1 2.0.0.0/32 is subnetted, 1 subnets O 2.2.2.2 [110/1001] via 10.5.5.3, 00:00:07, Tunnel1 < — внутренняясетьSpoke2 10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks O 10.0.0.0/24 [110/1001] via 10.5.5.254, 00:05:19, Tunnel1 < — внутренняя сеть Центрального офиса C 10.5.5.0/24 is directly connected, Tunnel1 L 10.5.5.1/32 is directly connected, Tunnel1 172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks C 172.16.1.0/24 is directly connected, GigabitEthernet0/0 L 172.16.1.2/32 is directly connected, GigabitEthernet0/0 Связность между Spoke 1 и Spoke 2 осуществляется напрямую: Spoke_1#traceroute 2.2.2.2 source 1.1.1.1 Type escape sequence to abort. Tracing the route to 2.2.2.2 VRF info: (vrf in name/id, vrf out name/id) 1 10.5.5.3 216 msec 256 msec 216 msec | ||
HUB (R1) | Spoke (R3) | Spoke (R4) |
По умолчанию, маршруты на Spoke только HUB (из-за split-horizon не видны маршруты Spoke 2) | ||
HUB#sh ip route eigrp 1.0.0.0/8 is variably subnetted, 2 subnets, 2 masks D 1.0.0.0/8 is a summary, 00:04:18, Null0 D 3.0.0.0/8 [90/409600] via 10.5.5.3, 00:04:24, Tunnel1 D 4.0.0.0/8 [90/409600] via 10.5.5.4, 00:03:51, Tunnel1 10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks D 10.0.0.0/8 is a summary, 00:04:18, Null0 Нет маршрута до 4.4.4.4 Spoke_1#sh ip route eigrp D 1.0.0.0/8 [90/324096] via 10.5.5.1, 00:04:04, Tunnel4 3.0.0.0/8 is variably subnetted, 2 subnets, 2 masks D 3.0.0.0/8 is a summary, 00:04:11, Null0 10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks D 10.0.0.0/8 is a summary, 00:04:11, Null0 | ||
HUB (R1) | Spoke (R3) | Spoke (R4) |
HUB(conf)# router eigrp 1 no ip split-horizon eigrp 1 | Нет доп.настройки | Нет доп.настройки |
HUB#sh ip route eigrp 1.0.0.0/8 is variably subnetted, 2 subnets, 2 masks D 1.0.0.0/8 is a summary, 00:04:18, Null0 D 3.0.0.0/8 [90/409600] via 10.5.5.3, 00:04:24, Tunnel101 D 4.0.0.0/8 [90/409600] via 10.5.5.4, 00:03:51, Tunnel101 10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks D 10.0.0.0/8 is a summary, 00:04:18, Null0 Маршрут на Spoke1 появился, но ведет через HUB Spoke_1#sh ip route eigrp D 1.0.0.0/8 [90/324096] via 10.5.5.1, 00:05:45, Tunnel4 3.0.0.0/8 is variably subnetted, 2 subnets, 2 masks D 3.0.0.0/8 is a summary, 00:00:26, Null0 D 4.0.0.0/8 [90/435200] via 10.5.5.1, 00:00:26, Tunnel4 10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks D 10.0.0.0/8 is a summary, 00:05:51, Null0 R3#traceroute 4.4.4.4 source 3.3.3.3 Type escape sequence to abort. Tracing the route to 4.4.4.4 1 10.5.5.1 88 msec 92 msec 76 msec 2 10.5.5.4 128 msec * 140 msec | ||
HUB (R1) | Spoke (R3) | Spoke (R4) |
HUB(conf)# router eigrp 1 no ip split-horizon eigrp 1 no ip next-hop-self eigrp 1 | Нет доп.настройки | Нет доп.настройки |
Теперь маршрут до сети Spoke_2 ведет напрямую: R3#sh ip route eigrp 1 D 1.0.0.0/8 [90/324096] via 10.5.5.1, 00:00:06, Tunnel4 3.0.0.0/8 is variably subnetted, 2 subnets, 2 masks D 3.0.0.0/8 is a summary, 00:00:06, Null0 D 4.0.0.0/8 [90/435200] via 10.5.5.4, 00:00:04, Tunnel4 10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks D 10.0.0.0/8 is a summary, 00:19:55, Null0
R3#traceroute 4.4.4.4 source 3.3.3.3 Type escape sequence to abort. Tracing the route to 4.4.4.4 1 10.5.5.4 84 msec * 72 msec | ||
PPTP_HUB # Username cisco2 password cisco2 ! interface Loopback1 ip address 192.168.2.2 255.255.255.0 ! vpdn enable ! vpdn-group 1 ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 1 ! interface Virtual-Template1 ip unnumbered Loopback1 ip mtu 1400 ip tcp adjust-mss 1360 peer default ip address pool PPTP-Pool ppp encrypt mppe auto ppp authentication ms-chap-v2 chap callin ! ip local pool PPTP-Pool 192.168.2.5 192.168.2.50 ! | ||
PPTP_HUB #sho vpdn session %No active L2TP tunnels PPTP Session Information Total tunnels 1 sessions 1 LocID RemID TunID Intf Username State Last Chg Uniq ID 55592 0 17168 Vi3 cisco2 estabd 00:04:13 6 | ||
PPTP_HUB#sh ip int br Interface IP-Address OK? Method Status Protocol Ethernet0/0 unassigned YES NVRAM administratively down down GigabitEthernet0/0 192.168.1.3 YES NVRAM up up GigabitEthernet1/0 77.1.1.3 YES NVRAM up up Loopback0 3.3.3.3 YES NVRAM up up Loopback1 192.168.2.2 YES NVRAM up up Virtual-Access1 unassigned YES unset down down Virtual-Access2 unassigned YES unset up up Virtual-Access3 192.168.2.5 YES unset up up Virtual-Template1 192.168.2.5 YES unset down down | ||
ip dhcp pool STATIC import all origin file flash:/static2.txt default-router 192.168.2.2 dns-server 8.8.8.8 8.8.4.4 domain-name lab.local lease 3 ! interface Virtual-Template1 ip unnumbered Loopback1 ip mtu 1400 ip tcp adjust-mss 1360 peer default ip address pool STATIC (PPTP-Pool нам уже не нужен) ppp encrypt mppe auto ppp authentication ms-chap-v2 chap callin | ||
*time* Mar 01 2002 12:23 AM *version* 2 !IP address Type Hardware address Lease expiration VRF 192.168.2.77 /25 1000c.2984.4f84Infinite 192.168.2.17 /25 1000c.2946.1575Infinite 192.168.2.18 /25 10000.0000.1111Infinite | ||
IP_add_s_global IP_add_d_global Type 115 | ||
L2TP_header | ||
L2_sublayer | ||
Data | ||
IP_add_s_global IP_add_d_global | ||
UDP_s_port UDP_d_port(1701) | ||
L2TP_header | ||
PPP_header | ||
IP_add_s_local IP_add_d_local | ||
Data | ||
LAC | L2TP access concentrator | LAC принимает на себя запросы от клиента и согласует L2TP параметры туннелей и сессий с LNS и передает запрос LNS |
LNS | L2TP network server | LNS согласует L2TP параметры туннелей и сессий с LAC |
LCCE | L2TP Control Connection Endpoint | Это LAC, который участвует в сигнальном соединении. |
R5# pseudowire-class L2TP_Class encapsulation l2tpv3 protocol none (то есть не используется динамическое установление сессии) ip pmtu ip local interface GigabitEthernet1/0 ! interface GigabitEthernet0/0 no ip address xconnect 44.1.1.9 1 encapsulation l2tpv3 manual pw-class L2TP_Class l2tp id 1 2 l2tp cookie local 4 55111 l2tp cookie remote 44119 | R9# pseudowire-class L2TP_Class encapsulation l2tpv3 protocol none (то есть не используется динамическое установление сессии) ip pmtu ip local interface GigabitEthernet0/0 ! interface GigabitEthernet1/0 no ip address xconnect 55.1.1.1 1 encapsulation l2tpv3 manual pw-class L2TP_Class l2tp id 2 1 l2tp cookie local 4 44119 l2tp cookie remote 4 55111 | |
R5_VPN_HUB_Pr#sh l2tp session L2TP Session Information Total tunnels 0 sessions 1 LocID RemID TunID Username, Intf/ State Last Chg Uniq ID Vcid, Circuit 1 2 n/a 1, Gi0/0 est 00:00:03 1 R5_VPN_HUB_Pr#sh l2tp session all L2TP Session Information Total tunnels 0 sessions 1 Session id 1 is up, logical session id 33356, tunnel id n/a Remote session id is 2, remote tunnel id n/a Locally initiated session Unique ID is 4 Session Layer 2 circuit, type is Ethernet, name is GigabitEthernet0/0 Session vcid is 1 Circuit state is UP Local circuit state is UP Remote circuit state is UP Call serial number is 0 Remote tunnel name is Internet address is 44.1.1.9 Local tunnel name is Internet address is 55.1.1.5 IP protocol 115 Session is manually signaled Session state is established, time since change 02:29:58 1130 Packets sent, 1982 received 151213 Bytes sent, 197759 received Last clearing of counters never | ||
R10#ping 192.168.1.7 repeat 10 Type escape sequence to abort. Sending 10, 100-byte ICMP Echos to 192.168.1.7, timeout is 2 seconds: !!!!!!!!!! Success rate is 100 percent (10/10), round-trip min/avg/max = 128/142/180 ms | ||
R7_DATA_Center_Servers#sh ip ospf neighbor Neighbor ID Pri State Dead Time Address Interface 192.168.1.10 1 FULL/DR 00:00:37 192.168.1.10 GigabitEthernet0/0 R10#sh ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface 7.7.7.7 1 FULL/BDR 00:00:35 192.168.1.7 GigabitEthernet0/0 | ||
*Oct 20 19:52:55.861: L2X tnl 08287:________: Create logical tunnel *Oct 20 19:52:55.865: L2TP tnl 08287:________: Create tunnel *Oct 20 19:52:55.869: L2TP tnl 08287:________: version set to V2 (протоколL2TPv2) *Oct 20 19:52:55.873: L2TP tnl 08287:________: remote ip set to 44.1.1.9 *Oct 20 19:52:55.873: L2TP tnl 08287:________: local ip set to 55.1.1.1 *Oct 20 19:52:55.877: L2TP tnl 08287:00003073: FSM-CC ev Rx-SCCRQ (Start—Control—Connection—Request) LNSпроверяет валидность отправителя и наличие собственных ресурсов, также на этом этапе согласуется список поддерживаемых типов pseudowire(Ethernet, Frame Relay) *Oct 20 19:52:55.877: L2TP tnl 08287:00003073: FSM-CC Idle->Proc-SCCRQ *Oct 20 19:52:55.877: L2TP tnl 08287:00003073: FSM-CC do Rx-SCCRQ *Oct 20 19:52:55.881: L2X _____:________: Tunnel author started for LAC *Oct 20 19:52:55.901: L2X _____:________: Tunnel author found *Oct 20 19:52:55.905: L2TP tnl 08287:00003073: Author reply, data source: «VPDN-L2TP» *Oct 20 19:52:55.909: L2X _____:________: class [AAA author, group «VPDN-L2TP»] *Oct 20 19:52:55.913: L2X _____:________: created *Oct 20 19:52:55.917: L2TP tnl 08287:00003073: FSM-CC ev SCCRQ-OK *Oct 20 19:52:55.917: L2TP tnl 08287:00003073: FSM-CC Proc-SCCRQ->Wt-SCCCN Start-Control-Connection-Connected (SCCCN) ожидаем состоянияConnected *Oct 20 19:52:55.917: L2TP tnl 08287:00003073: FSM-CC do Tx-SCCRP Start-Control-Connection-Reply (SCCRP) отправили ответное сообщение *Oct 20 19:52:55.917: L2X _____:________: l2x_open_socket: is called *Oct 20 19:52:55.921: L2TP tnl 08287:00003073: Open sock 55.1.1.1:1701->44.1.1.9:1701 Используется UDP с портом 1701 для служебных сообщений *Oct 20 19:52:55.925: L2TP tnl 08287:00003073: FSM-CC ev Sock-Ready *Oct 20 19:52:55.929: L2TP tnl 08287:00003073: FSM-CC in Wt-SCCCN *Oct 20 19:52:55.929: L2TP tnl 08287:00003073: FSM-CC do Ignore-Sock-Up *Oct 20 19:52:55.941: L2X _____:________: Disabled security for VPDN *Oct 20 19:52:56.053: L2TP tnl 08287:00003073: FSM-CC ev Rx-SCCCN *Oct 20 19:52:56.053: L2TP tnl 08287:00003073: FSM-CC Wt-SCCCN->Proc-SCCCN *Oct 20 19:52:56.053: L2TP tnl 08287:00003073: FSM-CC do Rx-SCCCN *Oct 20 19:52:56.053: L2TP tnl 08287:00003073: Got a response in SCCCN from LAC *Oct 20 19:52:56.057: L2TP tnl 08287:00003073: Tunnel Authentication success *Oct 20 19:52:56.061: L2TP tnl 08287:00003073: FSM-CC ev SCCCN-OK *Oct 20 19:52:56.065: L2TP tnl 08287:00003073: FSM-CC Proc-SCCCN->established *Oct 20 19:52:56.069: L2TP tnl 08287:00003073: FSM-CC do Established *Oct 20 19:52:56.073: L2TP tnl 08287:00003073: Control channel up *Oct 20 19:52:56.077: L2TP tnl 08287:00003073: 55.1.1.1<->44.1.1.9 | ||
*Oct 20 19:52:56.117: L2X _____:_____:________: Create logical session *Oct 20 19:52:56.121: L2TP _____:_____:________: Create session *Oct 20 19:52:56.121: L2TP _____:_____:________: Using ICRQ FSM Incoming-Call-Request (ICRQ) Здесь передается требуемыйpseudowire тип, требуемый для уровняL2 *Oct 20 19:52:56.125: L2TP _____:_____:________: remote ip set to 44.1.1.9 *Oct 20 19:52:56.125: L2TP _____:_____:________: local ip set to 55.1.1.1 *Oct 20 19:52:56.129: L2TP tnl 08287:00003073: FSM-CC ev Session-Conn *Oct 20 19:52:56.129: L2TP tnl 08287:00003073: FSM-CC in established *Oct 20 19:52:56.129: L2TP tnl 08287:00003073: FSM-CC do Session-Conn-Est *Oct 20 19:52:56.129: L2TP tnl 08287:00003073: Session count now 1 *Oct 20 19:52:56.129: L2TP _____:08287:0000754C: Session attached *Oct 20 19:52:56.129: L2TP _____:08287:0000754C: FSM-Sn ev Rx-ICRQ *Oct 20 19:52:56.129: L2TP _____:08287:0000754C: FSM-Sn Idle->Proc-ICRQ *Oct 20 19:52:56.129: L2TP _____:08287:0000754C: FSM-Sn do Rx-ICRQ *Oct 20 19:52:56.129: L2TP _____:08287:0000754C: Chose application VPDN *Oct 20 19:52:56.133: L2TP _____:08287:0000754C: App type set to VPDN *Oct 20 19:52:56.133: L2TP tnl 08287:00003073: VPDN Session count now 1 *Oct 20 19:52:56.189: L2TP 00005:08287:0000754C: FSM-Sn ev ICRQ-OK *Oct 20 19:52:56.193: L2TP 00005:08287:0000754C: FSM-Sn Proc-ICRQ->Wt-Tx-ICRP *Oct 20 19:52:56.193: L2TP 00005:08287:0000754C: FSM-Sn do Tx-ICRP-Local-Check *Oct 20 19:52:56.193: L2TP 00005:08287:0000754C: FSM-Sn ev Local-Cont *Oct 20 19:52:56.193: L2TP 00005:08287:0000754C: FSM-Sn Wt-Tx-ICRP->Wt-Rx-ICCN *Oct 20 19:52:56.193: L2TP 00005:08287:0000754C: FSM-Sn do Tx-ICRP Incoming-Call-Reply (ICRP) *Oct 20 19:52:56.197: L2TP 00005:08287:0000754C: Open sock 55.1.1.1:1701->44.1.1.9:1701 *Oct 20 19:52:56.197: L2TP 00005:08287:0000754C: FSM-Sn in Wt-Rx-ICCN (ожидаемICCN) *Oct 20 19:52:56.397: L2TP 00005:08287:0000754C: FSM-Sn ev Rx-ICCN (ICCN получили) *Oct 20 19:52:56.401: L2TP 00005:08287:0000754C: FSM-Sn Wt-Rx-ICCN->Proc-ICCN *Oct 20 19:52:56.405: L2TP 00005:08287:0000754C: FSM-Sn do Rx-ICCN *Oct 20 19:52:56.437: L2TP 00005:08287:0000754C: FSM-Sn ev ICCN-OK *Oct 20 19:52:56.441: L2TP 00005:08287:0000754C: FSM-Sn Proc-ICCN->established *Oct 20 19:52:56.445: L2TP 00005:08287:0000754C: FSM-Sn do Established *Oct 20 19:52:56.449: L2TP 00005:08287:0000754C: Session up (Ceccия для данных установилась) *Oct 20 19:52:58.197: L2TP 00005:08287:0000754C: FSM-Sn in established *Oct 20 19:52:58.241: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access3, changed state to up *Oct 20 19:52:58.273: %LINK-3-UPDOWN: Interface Virtual-Access3, changed state to up | ||
ISP_NAT#sh l2tun tunnel L2TP Tunnel Information Total tunnels 1 sessions 1 LocTunID RemTunID Remote Name State Remote Address Sessn L2TP Class/ Count VPDN Group 30933 12403 LNS est 55.1.1.1 1 1 ISP_NAT#sh l2tp session L2TP Session Information Total tunnels 1 sessions 1 LocID RemID TunID Username, Intf/ State Last Chg Uniq ID Vcid, Circuit 32700 30028 30933 LNS, Vi1 est 00:51:35 0 | ||
LNS# aaa new-model aaa authorization network default local ! vpdn enable vpdn-group VPDN-L2TP accept-dialin protocol l2tp virtual-template 2 lcp renegotiation on-mismatch terminate-from hostname LAC l2tp tunnel password 0 cisco123 ip pmtu ! interface Virtual-Template2 ip unnumbered GigabitEthernet0/0 autodetect encapsulation ppp peer default ip address pool L2TP-pool ppp authentication ms-chap-v2 | LAC# vpdn enable ! vpdn-group 1 request-dialin protocol l2tp pool-member 1 initiate-to ip 55.1.1.1 source-ip 44.1.1.9 local name LAC (имя должно совпадать с terminate-from на LNS) l2tp tunnel password 0 cisco123 ! interface Dialer1 ip address negotiated encapsulation ppp dialer pool 1 dialer idle-timeout 0 dialer string 123 dialer vpdn dialer-group 1 ppp authentication chap callin ppp chap hostname LNC ppp chap password 0 cisco123 ! ip route 192.168.1.0 255.255.255.0 Dialer1 | |
LNS# aaa new-model ! aaa authorization network default local ! username LAC password 0 cisco123 ! vpdn enable vpdn-group VPDN-L2TP accept-dialin protocol l2tp virtual-template 2 terminate-from hostname LAC l2tp tunnel password 0 cisco123 ! interface Loopback0 ip address 3.3.3.3 255.255.255.255 ! interface Virtual-Template2 ip unnumbered Loopback0 autodetect encapsulation ppp no peer default ip address ppp authentication ms-chap-v2 ! ip route 172.30.1.0 255.255.255.0 7.7.7.7 ! добавляем статический маршрут до сети удаленного офиса R7 (P.S. маршрут до 7.7.7.7 добавляется автоматически при установлении сессии LNS#show ip route 7.0.0.0/32 is subnetted, 1 subnets C 7.7.7.7 is directly connected, Virtual-Access3 ) | LAC# username LNS password 0 cisco123 ! l2tp-class client.init.class authentication password cisco123 ! pseudowire-class pwclass1 encapsulation l2tpv2 protocol l2tpv2 client.init.class ip local interface Ethernet0/0 ! interface Loopback0 ip address 7.7.7.7 255.255.255.255 ! interface Virtual-PPP1 ip unnumbered loopback0 ppp authentication ms-chap-v2 no cdp enable pseudowire 55.1.1.3 1 pw-class pwclass1 ! ip route 192.168.1.0 255.255.255.0 Virtual-PPP1 ! добавляем статический маршрут до ЦО (P.S. маршрут до 3.3.3.3 добавляется автоматически при установлении сессии 3.0.0.0/32 is subnetted, 1 subnets C 3.3.3.3 is directly connected, Virtual-PPP1 ) | |
LNS#show vpdn L2TP Tunnel and Session Information Total tunnels 1 sessions 1 LocTunID RemTunID Remote Name State Remote Address Sessn L2TP Class/ Count VPDN Group 60224 63290 LAC est 77.1.1.7 1 VPDN-L2TP LocID RemID TunID Username, Intf/ State Last Chg Uniq ID Vcid, Circuit 46580 40688 60224 LAC, Vi3 est 00:14:12 102 LAC#sho vpdn L2TP Tunnel and Session Information Total tunnels 1 sessions 1 LocTunID RemTunID Remote Name State Remote Address Sessn L2TP Class/ Count VPDN Group 63290 60224 LNS est 55.1.1.3 1 client.init.cla LocID RemID TunID Username, Intf/ State Last Chg Uniq ID Vcid, Circuit 40688 46580 63290 1, Vp1 est 00:20:54 8 | ||
LNS#sh caller user LAC User: LAC, line Vi3, service PPPoVPDN Connected for 00:03:34, Idle for 00:00:04 Timeouts: Limit Remaining Timer Type — — — PPP: LCP Open, MS CHAP V2 (<—>), IPCP IP: Local 3.3.3.3, remote 7.7.7.7 Counts: 101 packets input, 2932 bytes, 0 no buffer 0 input errors, 0 CRC, 0 frame, 0 overrun 78 packets output, 3770 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets <после прохождения всех ping-ов проверяем вновь> LNS#sh caller user LAC User: LAC, line Vi3, service PPPoVPDN Connected for 00:03:40, Idle for 00:00:02 Timeouts: Limit Remaining Timer Type — — — PPP: LCP Open, MS CHAP V2 (<—>), IPCP IP: Local 3.3.3.3, remote 7.7.7.7 Counts: 201 packets input, 13332 bytes, 0 no buffer 0 input errors, 0 CRC, 0 frame, 0 overrun 179 packets output, 15650 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets | Проверяем доступность сети Центрального офиса (LNS) с R7 LAC#ping 192.168.1.1 source 172.30.1.7 repeat 100 Type escape sequence to abort. Sending 100, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 172.30.1.7 !!!!!! !!!!!!!!!!!!!!!!!!!!!!! !!! !!!!!!!!!!!!!!! Success rate is 100 percent (100/100), round-trip min/avg/max = 1/4/6 ms | |
OSPF работает словно через broadcast сеть LNS# router ospf 1 network 3.3.3.3 0.0.0.0 area 0 network 192.168.1.0 0.0.0.255 area 0 default-information originate always | Объявим сеть 3.3.3.3 в ospf area 0 LAC# interface Loopback1 ip address 77.77.77.77 255.255.255.255 ! router ospf 1 network 3.3.3.3 0.0.0.0 area 0 network 77.77.77.77 0.0.0.0 area 0 | |
LNS#sh ip ospf neighbor Neighbor ID Pri State Dead Time Address Interface 7.7.7.7 0 FULL/ — 00:00:30 7.7.7.7 Virtual-Access3 LAC#sh ip ospf neighbor Neighbor ID Pri State Dead Time Address Interface 3.3.3.3 0 FULL/ — 00:00:35 3.3.3.3 Virtual-PPP1 | ||
LNS# username LAC password 0 cisco123 ! pseudowire-class client.init.pw encapsulation l2tpv3 protocol l2tpv3 client.inint.class ip local interface Ethernet0/1 ! interface Virtual-PPP1 ip unnumbered Loopback0 ppp authentication ms-chap-v2 pseudowire 77.1.1.7 1 pw-class client.init.pw ! interface Loopback0 ip address 3.3.3.3 255.255.255.255 ! interface Virtual-PPP1 ip unnumbered Loopback0 ppp authentication ms-chap-v2 pseudowire 77.1.1.7 1 pw-class client.init.pw ! ip route 172.30.1.0 255.255.255.0 Virtual-PPP1 | LAC# username LNS password 0 cisco123 ! pseudowire-class pwclass2 encapsulation l2tpv3 protocol l2tpv3 client.init.class ip local interface Ethernet0/0 ! interface Virtual-PPP1 ip address negotiated ppp authentication ms-chap-v2 no cdp enable pseudowire 55.1.1.3 1 pw-class pwclass2 ! ip route 192.168.1.0 255.255.255.0 Virtual-PPP1 | |
LNS#show vpdn L2TP Tunnel and Session Information Total tunnels 1 sessions 1 LocTunID RemTunID Remote Name State Remote Address Sessn L2TP Class/ Count VPDN Group 4168123058 3050381103 LAC est 77.1.1.7 1 client.inint.cl LocID RemID TunID Username, Intf/ State Last Chg Uniq ID Vcid, Circuit 2122433254 2810410257 4168123058 1, Vp1 est 00:16:22 53 Сессия в состояние established, туннельные ID совпадают | ||
LAC#show vpdn L2TP Tunnel and Session Information Total tunnels 1 sessions 1 LocTunID RemTunID Remote Name State Remote Address Sessn L2TP Class/ Count VPDN Group 3050381103 4168123058 LNS est 55.1.1.3 1 client.init.cla LocID RemID TunID Username, Intf/ State Last Chg Uniq ID Vcid, Circuit 2810410257 2122433254 3050381103 1, Vp1 est 00:15:57 5 | ||
Проверка установления L2TPv3 сессии LNS#show caller user LAC
User: LAC, line Vp1, service PPP Connected for 00:01:52, Idle for 00:01:52 Timeouts: Limit Remaining Timer Type — — — PPP: LCP Open, MS CHAP V2 (<—>), IPCP IP: Local 3.3.3.3, remote 7.7.7.7 Counts: 1241 packets input, 74748 bytes, 0 no buffer 0 input errors, 0 CRC, 0 frame, 0 overrun 1078 packets output, 78056 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets <после прохождения всех ping-ов проверяем вновь> LNS#show caller user LAC User: LAC, line Vp1, service PPP Connected for 00:02:02, Idle for 00:02:02 Timeouts: Limit Remaining Timer Type — — — PPP: LCP Open, MS CHAP V2 (<—>), IPCP IP: Local 3.3.3.3, remote 7.7.7.7 Counts: 1343 packets input, 84976 bytes, 0 no buffer 0 input errors, 0 CRC, 0 frame, 0 overrun 1180 packets output, 88552 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets | Пропингуем 100 пакетов удаленной сети через туннель LAC#ping 192.168.1.1 source 172.30.1.7 repeat 100 Type escape sequence to abort. Sending 100, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 172.30.1.7 !!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Success rate is 100 percent (100/100), round-trip min/avg/max = 2/4/29 ms | |
LNS# crypto isakmp policy 10 encr 3des authentication pre-share group 2 ! crypto isakmp key ipseckey123 address 77.1.1.7 ! crypto ipsec transform-set ESP-AES256-SHA1 esp-aes 256 esp-sha-hmac mode transport ! crypto map L2TP_VPN 10 ipsec-isakmp set peer 77.1.1.7 set transform-set ESP-AES256-SHA1 match address L2TP_TRAFFIC ! ! Так как мы используем L2TPv2, то достаточно! определить для шифрования весь UDP трафик! по порту 1701 ip access-list extended L2TP_TRAFFIC permit udp host 55.1.1.3 eq 1701 host 77.1.1.7 eq 1701 ! interface Ethernet0/1 ip address 55.1.1.3 255.255.255.0 crypto map L2TP_VPN | LAC# crypto isakmp policy 10 encr 3des authentication pre-share group 2 ! crypto isakmp key ipseckey123 address 55.1.1.3 ! crypto ipsec transform-set ESP-AES256-SHA1 esp-aes 256 esp-sha-hmac mode transport ! crypto map L2TP_VPN 10 ipsec-isakmp set peer 55.1.1.3 set transform-set ESP-AES256-SHA1 match address L2TP_TRAFFIC ! ! ip access-list extended L2TP_TRAFFIC permit udp host 77.1.1.7 eq 1701 host 55.1.1.3 eq 1701 ! interface Ethernet0/0 ip address 77.1.1.7 255.255.255.0 crypto map L2TP_VPN ! ! | |
Проверяем статистики L2TPv3 сессии LNS#sh caller user LAC User: LAC, line Vi3, service PPPoVPDN Connected for 00:04:10, Idle for 00:00:05 Timeouts: Limit Remaining Timer Type — — — PPP: LCP Open, MS CHAP V2 —>), IPCP IP: Local 3.3.3.3, remote 7.7.7.7 Counts: 247 packets input, 16456 bytes, 0 no buffer 0 input errors, 0 CRC, 0 frame, 0 overrun 129 packets output, 3846 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets
<после прохождения всех ping-ов проверяем вновь> LNS#sh caller user LAC User: LAC, line Vi3, service PPPoVPDN Connected for 00:04:45, Idle for 00:00:02 Timeouts: Limit Remaining Timer Type — — — PPP: LCP Open, MS CHAP V2 (ß>), IPCP IP: Local 3.3.3.3, remote 7.7.7.7 Counts: 327 packets input, 23288 bytes, 0 no buffer 0 input errors, 0 CRC, 0 frame, 0 overrun 188 packets output, 4226 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets | Пропингуем 100 пакетов удаленной сети через туннель LAC#ping 192.168.1.1 repeat 100 source 172.30.1.7 Type escape sequence to abort. Sending 100, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: !.!!!!!!!.!!!!!.!!!!!.!!!.!!!!!..!.!!!!!!!!!!!!.!!!!!..!!!!. | |
LNS#sh ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface 7.7.7.7 0 FULL/ — 00:00:35 7.7.7.7 Virtual-Access3 192.168.1.1 1 FULL/DR 00:00:33 192.168.1.1 Ethernet0/0 LNS#sh ip route C 7.7.7.7 is directly connected, Virtual-Access3 O 77.77.77.77/32 [110/2] via 7.7.7.7, 21:54:59, Virtual-Access3 172.30.0.0/24 is subnetted, 1 subnets S 172.30.1.0 [1/0] via 7.7.7.7 192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks | ||
*Nov 9 10:31:35.178: VPDN uid:123 disconnect (AAA) IETF: 17/user-error Ascend: 26/PPP CHAP Fail *Nov 9 10:31:35.178: VPDN uid:123 vpdn shutdown session, result=2, error=6, vendor_err=0, syslog_error_code=8, syslog_key_type=1 | ||
LNS# username LAC_9 password 0 cisco123 | LAC_9# username LNS password 0 cisco123 ! l2tp-class client.init.class authentication password cisco123 ! pseudowire-class pwclass1 encapsulation l2tpv2 protocol l2tpv2 client.init.class ip local interface Ethernet0/0 ! interface Loopback0 ip address 9.9.9.9 255.255.255.255 ! interface Virtual-PPP1 ip address loopback0 ppp authentication ms-chap-v2 no cdp enable pseudowire 55.1.1.3 1 pw-class pwclass1 ! ip route 192.168.1.0 255.255.255.0 Virtual-PPP1 | |
LNS#sh vpdn tunnel
L2TP Tunnel Information Total tunnels 2 sessions 2 LocTunID RemTunID Remote Name State Remote Address Sessn L2TP Class/ Count VPDN Group 35949 21672 LAC est 77.1.1.7 1 VPDN-L2TP 49973 18492 LAC_9 est 44.1.1.9 1 VPDN-L2TP | ||
LNS# interface Loopback0 ip address 3.3.3.3 255.255.255.255 router ospf 1 network 3.3.3.3 0.0.0.0 area 0 | LAC# interface Loopback0 ip address 7.7.7.7 255.255.255.255 ! interface Loopback1 ip address 77.77.77.77 255.255.255.255 ! router ospf 1 router-id 7.7.7.7 network 7.7.7.7 0.0.0.0 area 0 network 77.77.77.77 0.0.0.0 area 0 | LAC_9# interface Loopback0 ip address 9.9.9.9 255.255.255.255 ! interface Loopback1 ip address 99.99.99.99 255.255.255.255 ! router ospf 1 router-id 9.9.9.9 network 9.9.9.9 0.0.0.0 area 0 network 99.99.99.99 0.0.0.0 area 0 |
LNS#sh ip ospf neighbor Neighbor ID Pri State Dead Time Address Interface 9.9.9.9 0 FULL/ — 00:00:39 9.9.9.9 Virtual-Access3 7.7.7.7 0 FULL/ — 00:00:39 7.7.7.7 Virtual-Access4 192.168.1.1 1 FULL/DR 00:00:39 192.168.1.1 Ethernet0/0 Все региональные офисы видят маршруты друг друга через R3 – L2TPv2 HUB LAC_9#sh ip route ospf (видны маршруты маршрутизатора R7) 7.0.0.0/32 is subnetted, 1 subnets O 7.7.7.7 [110/3] via 3.3.3.3, 00:02:14, Virtual-PPP1 77.0.0.0/32 is subnetted, 1 subnets O 77.77.77.77 [110/3] via 3.3.3.3, 00:02:14, Virtual-PPP1 Трассировка между удаленными офисами: LAC_9#traceroute 77.77.77.77 source 99.99.99.99 Type escape sequence to abort. Tracing the route to 77.77.77.77 VRF info: (vrf in name/id, vrf out name/id) 1 3.3.3.3 5 msec 2 msec 4 msec 2 7.7.7.7 5 msec 4 msec * | ||
C 16.16.16.16 is directly connected, Virtual-Access4) |
Какие бывают типы VPN, и чем они отличаются?
Мы уже рассмотрели с вами, что такое VPN и для чего он используется, где подробно разобрали этом вопрос. В этот раз попробуем разобраться с видами протоколов VPN, кратко рассмотрим их и попробуем найти в каждом из них преимущества и недостатки. Подобная информация поможет вам подобрать оптимальное решение, учитывая собственные цели и предпочтения.
PPTP VPN
Представляет собой туннелированный протокол по принципу из точки в точку – он создает туннель, захватывая данные. Является самым распространенным видом технологии, что позволяет подключиться к сети VPN через существующие интернет-подключения. Подобный вариант станет идеальным решением для домашнего использования и для бизнеса. Не нуждается в установке дополнительного оборудования, при этом можно использовать с помощью несложных и дешевых приложений. Технология PPTP VPN идеально совместима со всеми операционными системами. Несмотря на большое количество преимуществ, технология с протоколом РРР не может гарантировать пользователю высокий уровень безопасности, поэтому для серьезных целей и организаций такой вариант не подходит.
Site-to-Site VPN
Является самым распространенным видом VPN в бизнесе, работающий по принципу роутер-роутер или узел-узел. Особенно этот вариант становится актуальным для компаний с офисами в разных областях одной страны, либо в нескольких странах, что позволяет связывать все компьютеры в одну цепочку. При использовании VPN узел-узел компания подключается к серверу другой компании таким же образом, как и экстранет (VPN в одной сети). Если говорить максимально просто, то Site-to-Site VPN – это своего рода мост, который соединяет сети в различных локациях, обеспечивая безопасное соединение и подключение к интернету. Данная система аналогично PPTP создает безопасную сеть. В это время нет выделенной линии, поэтому разные компьютеры компании могут подключаться к сети. В отличие от PPTP, шифрование осуществляется с помощью специально предназначенных устройств, либо с помощью приложений на обоих концах сети.
L2TP VPN
Это протокол туннелирования второго уровня, который разработан компаниям Cisco и Microsoft. Виртуальная частная сеть на базе протокола L2TP сочетается с другими протоколами, что будет гарантировать максимальную безопасность соединения. При использовании протокола L2TP формируется туннель между двумя точками подключения, а также с помощью другого протокола, например IPsec, в результате чего проводится шифрование информации. Действует L2TP подобно PPTP. Ключевое сходство заключается в отсутствии шифрования и основы на протоколе РРР. Разница только заключается в защите и сохранности данных – такой вариант может гарантировать максимально надежное и безопасное соединение.
IPsec
IPsec – это протокол VPN, который применяется для обеспечения максимальной безопасности сети. Протокол устанавливает своего рода туннель до удаленного узла. Каждая проведенная сессия проходит проверку, пакеты данных шифруются, поэтому протокол может гарантировать высокий уровень безопасности подключения. Предусмотрено два режима, в которых работает протокол – туннельный и транспортный, которые предназначены для защиты данных между различными сетями. При транспортном режиме шифруются сообщения внутри пакета данных, а в туннельном режиме – шифруется весь пакет информации. Преимущество применения IPsec заключается в том, что он может использоваться в дополнение к другим протоколам, а это значительно повышает безопасность сети. Хотя IPsec является удобным и полезным протоколом, но он имеет основной минус – длительное время установки клиентского приложения.
SSL and TLS
SSL and TLS – это два протокола, которые работают в единой системе. Протокол SSL предназначен для защиты пакетов данных, а TLS – безопасности на транспортном уровне. При использовании VPN с этими технологиями, браузер работает как клиент, пользователь получает доступ к специальным приложениям во всей сети. Активно используются при онлайн-продажах, обеспечивая защищенную сессию от браузера до сервера с приложением. Браузер без проблем подключается к SSL без каких-либо дополнительных действий со стороны пользователя.
MPLS VPN
MPLS – это технология многопротокольной коммутации с использованием меток, которая активно применяется в VPN-сервисах. Идеально решение для подключения сайт-сайт. Все по той причине, что данная технология является самой гибкой с максимальными возможностями в плане адаптации. Основывается на определенных стандартах, используемых с целью ускорения распределения сетевых пакетов по множеству протоколов. Сервисы с технологией MPLS настроены для работы с провайдером, когда ряд сайтов объединяются и создают VPN. Недостатком технологии является то, что сеть настроить значительно сложней, чем при использовании других протоколов. Сложнее вносить и модификации в приложение. Как результат, услуги VPN-сервисов с поддержкой протоколов MPLS обходятся пользователю существенно дороже, чем с другими протоколами.
Hybrid VPN
Как видно из самого названия, речь идет о гибридной сети VPN, которая соединяется в себе IPSec и MPLS. Каждый из вариантов применяется отдельно на разных узлах. В это время узел допускает одновременное подключение обоих видов протоколов. Это делается для того, чтобы повысить уровень надежности MPLS с помощью IPSec. Но для этой сети нужно определенное оборудование – роутер или устройство безопасности. С его помощью данные создают шифр и туннель VPN. Гибридный VPN является идеальным решением для крупных организаций. Но все эти особенности способствуют тому, что и стоимость подключения выше. С помощью гибридной сети можно подключить к центральному узлу через удаленный узел. Они хотя и дорогие, но самые гибкие в плане настройки.
Подведем итоги
Как видите, подобрать для себя оптимальный вариант VPN – это трудоемкая задача. Для того чтобы понять, какой тип VPN необходим именно вам, нужно разобраться, какой тип безопасности вам нужно получить. Это уже зависит от того, кем вы являетесь: студентом, владельцем малого бизнеса или крупной компанией. Важно обдумать, хватит ли простой системы безопасности для серфинга в интернете или нужна более сложная система, типа гибридной. Немаловажным фактором также является стоимость – сколько денег вы готовы отдать на то, чтобы обеспечить безопасное интернет-подключение? На базе всего этого вы сможете сделать правильный выбор.
Если у вас остались вопросы по тому какой сервис выбрать наша редакция подготовила топ 3 лучших VPN-сервиса
ExpressVPN
1 место. Лучшее предложение на рынке VPN Сервисов
- Скидка 49%
- 30 дней бесплатного периода
- Поддержка всех устройств и платформ
NordVPN
2 место в рейтинге VPNside
- Скидка 41%
- 30 дней бесплатного периода
- Поддержка всех устройств и платформ
PureVPN
3 место в рейтинге VPNside
- Скидка 70%
- 30 дней бесплатного периода
- Поддержка всех устройств и платформ
Была ли эта статья вам полезна?
ДаНет2 из 2 пометили это полезным для себя
Типы VPN и протоколы VPN
На чтение 4 мин Просмотров 35 Опубликовано
VPN означает виртуальную частную сеть (VPN). Которая позволяет пользователю безопасно и конфиденциально подключаться к частной сети через Интернет. VPN создаёт зашифрованное соединение, которое называется VPN-туннелем. И весь интернет-трафик и связь проходят через этот защищённый туннель.
Виртуальная частная сеть (VPN) бывает двух типов
VPN с удалённым доступом
VPN с удалённым доступом позволяет пользователю подключаться к частной сети и получать удалённый доступ ко всем её службам и ресурсам. Соединение между пользователем и частной сетью происходит через интернет, и соединение является безопасным и частным. VPN с удалённым доступом полезен как для домашних, так и для бизнес-пользователей.
Сотрудник компании, находясь внерабочего места, использует VPN для подключения к частной сети своей компании и удалённого доступа к файлам и ресурсам в частной сети. Частные или домашние пользователи VPN в основном используют службы VPN для обхода региональных ограничений в интернете и доступа к заблокированным веб-сайтам. Пользователи, осведомленные о безопасности в интернете. Также используют службы VPN для повышения своей безопасности и конфиденциальности в интернете.
Site-to-Site VPN
Site-to-Site VPN также называется Router-to-Router VPN и обычно используется в крупных компаниях. Компании или организации с филиалами в разных местах используют Site-to-Site VPN для подключения к сети одного офиса к сети другого офиса.
- VPN на основе интрасети: когда несколько офисов одной компании подключены с использованием типа Site-to-Site VPN, это называется VPN на основе интрасети.
- VPN на основе экстрасети: когда компании используют тип VPN типа «сеть-сеть» для подключения к офису другой компании, это называется VPN на основе экстрасети.
По сути, Site-to-Site VPN создаёт воображаемый мост между сетями в географически удалённых офисах. Соединяет их через интернет и поддерживает безопасную и конфиденциальную связь между сетями. В VPN типа «сеть-сеть» один маршрутизатор действует как клиент VPN, а другой маршрутизатор — как сервер VPN, поскольку это основано на связи между маршрутизаторами. Когда аутентификация подтверждается только между двумя маршрутизаторами, начинается связь.
Типы протоколов виртуальной частной сети (VPN)
Безопасность интернет-протокола (IPSec)
Безопасность интернет-протокола, известная как IPSec, используется для защиты интернет-связи по IP-сети. IPSec защищает связь по интернет-протоколу, проверяя сеанс, и шифрует каждый пакет данных во время соединения.
IPSec работает в 2 режимах:
- (i) Транспортный режим.
- (ii) Туннельный режим.
Работа транспортного режима заключается в шифровании сообщения в пакете данных, а в режиме туннелирования шифруется весь пакет данных. IPSec также может использоваться с другими протоколами безопасности для улучшения системы безопасности.
Протокол туннелирования уровня 2 (L2TP)
L2TP или протокол туннелирования уровня 2 — это протокол туннелирования, который часто комбинируется с другим протоколом безопасности VPN. Таким как IPSec, для установления высокозащищенного соединения VPN. L2TP создаёт туннель между двумя точками подключения L2TP, а протокол IPSec шифрует данные и поддерживает безопасную связь между туннелем.
Протокол туннелирования точка-точка (PPTP)
PPTP или протокол туннелирования точка-точка создаёт туннель и ограничивает пакет данных. Протокол Point-to-Point Protocol (PPP) используется для шифрования данных между соединениями. PPTP — один из наиболее широко используемых протоколов VPN, который используется с самого раннего выпуска Windows. PPTP также используется на Mac и Linux, кроме Windows.
SSL и TLS
SSL (Secure Sockets Layer) и TLS (Transport Layer Security) создают VPN-соединение. В котором веб-браузер выступает в роли клиента, а доступ пользователей запрещён к определённым приложениям, а не ко всей сети. Сайты интернет-магазинов обычно используют протоколы SSL и TLS. Веб-браузеры легко переключаются на SSL, и от пользователя почти не требуется никаких действий, поскольку веб-браузеры интегрированы с SSL и TLS. SSL-соединения имеют «https» вначале URL-адреса вместо «http».
OpenVPN
OpenVPN — это VPN с открытым исходным кодом. Которая обычно используется для создания соединений точка-точка и между сайтами. Он использует традиционный протокол безопасности, основанный на протоколах SSL и TLS.
Secure Shell (SSH)
Secure Shell или SSH создаёт туннель VPN, через который происходит передача данных, а также обеспечивает шифрование туннеля. SSH-соединения генерируются SSH-клиентом, и данные передаются с локального порта на удалённый сервер через зашифрованный туннель.
Сравнительный обзор реализаций технологии VPN
Вводная информация
Многие из вас используют для своих корпоративных или личных задач VPN и знают, что существует немалое количество реализаций этой технологии. Каждая из них имеет свои плюсы и минусы. Этот пост посвящен краткому сравнительному анализу самых распространенных на сегодняшний день программных решений для создания виртуальных частных сетей. Данная информация, на наш взгляд, может оказаться полезной для кого-то из вас в качестве отправной точки изучения темы Virtual Private Network или для проверки существующих знаний.
Частное облако от 1cloud.ru
- Любые конфигурации виртуальных серверов
- Бесплатные частные сети
- Полная автоматизация управления
- Необходимо маркировать узлы виртуальной сети и осуществлять корректную адресацию пакетов, предназначенных конкретным клиентам.
- Чтобы сохранить конфиденциальность передаваемых по сети данных, требуется эффективное и, в то же время, не слишком жадное до ресурсов шифрование «на лету», а также полное исключение прохождения информации в открытом виде.
- Для обеспечения целостности VPN также необходимы аутентификация участников при подключении к сети и проверка источников данных для защиты сети от попадания в нее несанкционированных узлов и пакетов.
Для выполнения этих задач различные типы VPN используют разные протоколы и инструменты, качество сочетания которых и позволяет оценить эффективность той или иной реализации Virtual Private Network.
Для оценки реализаций технологии виртуальных частных сетей мы принимаем во внимание показатели их безопасности, скорости и стабильности работы. В наши дни не менее важными параметрами стали и такие, как кроссплатформенность и простота конфигурации.
Сравнивать мы будем:
PPTP (Point-to-Point tunneling protocol)
PPTP(Point-to-Point Tunneling Protocol) был создан корпорацией Microsoft и опубликован еще в далеком 1999-м году, но активно используется по сей день, несмотря на солидный возраст. Использует TCP для соединения и протокол MPPE от той же Microsoft для шифрования. Аутентификация клиентов,как правило, обеспечивается механизмом MS-CHAPv2.
Распространенность PPTP VPN связана с простотой настройки и кроссплатформенностью – его поддержка встроена в большинство современных операционных систем, включая мобильные и роутерные, по умолчанию. Еще одна причина популярности этого решения – минимальная нагрузка на вычислительные ресурсы и, следовательно, высокая скорость работы. Стабильность PPTP также не вызывает сомнений.
С точки зрения безопасности PPTP достаточно давно скомпрометировал себя. На сегодняшний день в нем обнаружено большое количество уязвимостей, относящихся и к устройству протокола MMPE (напр., изменение исходящего потока RC4), и к элементу аутентификации MS-CHAP (в 2012 году даже появился онлайн-сервис, подбирающий MS-CHAPv2 ключ за 23 часа). Несмотря на то, что последняя проблема решается сменой механизма аутентификации с MS-CHAP на PEAP , сама компания Microsoft теперь рекомендует использовать L2TP или SSTP.
IPSec (IP Security)
IPsec (IP Security) представляет собой группу протоколов, обеспечивающих конфиденциальность данных, передаваемых через IP-сети, путем проверки их подлинности и целостности, а также шифрования передаваемых пакетов. IPsec может работать в транспортном и туннельном режимах. Если в первом случае шифруются только данные передаваемого пакета, а исходный заголовок сохраняется, то во втором шифруется весь передаваемый трафик, который затем инкапсулируется в поле данных нового IP-пакета. Транспортный режим IPsec применительно к созданию VPN-сетей используется в связке с другими реализациями (обычно L2TP), туннельный же сам по себе является может являться методом создания VPN-туннеля.
Шифрование соединения IPsec обеспечивается следующими средствами:Отличительной особенностью IPsec, которая несколько отдаляет его от определения «VPN» является то, что он не создает в системе дополнительный виртуальный сетевой адаптер, а использует стандартный внешний интерфейс. В целом, IPsec является даже не реализацией технологии виртуальных частных сетей, а инструментом защиты от подмены передаваемых IP-пакетов. Развертывание же виртуальных туннелей – скорее «побочное» свойство этого стека протоколов.
IPsec поддерживается всеми современными операционными системами (серверными, настольными, мобильными) а также рядом роутеров, причем при настройке VPN на последних отпадает необходимость каких либо манипуляций на клиентах, находящихся за этими роутерами.
Благодаря вышеописанным характеристикам IPsec считается одним из лучших решений для применения в сетях VPN.
Конечно, и здесь не обошлось без уязвимостей. Известно, что при работе в транспортном режиме IPsec может подвергаться атакам, направленным на протокол ISAKMP. Помимо этого, при работе IPsec без заголовков AH атакующий может совершить инъекцию собственных данных в передаваемые пакеты. Также известен способ атаки, при котором подменяется маршрут передачи пакетов (актуально для транспортного режима IPSec «в чистом виде»). В последнее время стало известно о новом эксплойте , позволяющем расшифровать IPsec-трафик через уязвимость в IKE.
L2TP (Layer 2 Tunneling Protocol) и L2TP+IPSec
L2TP(Layer 2 Tunneling Protocol) — протокол туннелирования для виртуальных частных сетей. Представляет собой симбиоз протокола L2F (Layer 2 Forwarding) компании Cisco и описанного выше PPTP. Позволяет создавать VPN-сети с разграничением прав доступа, но имеет один недостаток — не шифрует трафик. Этот протокол берет на себя ответственность за конфиденциальность и целостность L2TP-пакетов внутри туннеля, и при этом требует обеспечения шифрования и аутентификации для всего трафика, проходящего через него, на пакетном уровне. Для этой задачи, как правило, используется IPsec.
Связка L2TP/IPsec также присутствует во всех сегодняшних ОС, и настраивается со стороны клиента не сложнее, чем PPTP. Единственное, что может усложнить конфигурацию – L2TP использует, в том числе UDP-порт 500, который иногда блокируется, если вы находитесь за NAT. Поэтому может потребоваться дополнительная настройка firewall или роутера (переадресация портов), которая не требуется для решений, использующих стандартный для HTTPS порт TCP 443.
LT2P/IPsec на данный момент считается весьма безопасным решением при использовании таких алгоритмов шифрования, как AES. Однако, поскольку он инкапсулирует данные дважды, то работает несколько медленнее реализаций, использующих SSL (напр., OpenVPN или SSTP).
С точки зрения стабильности работы L2TP/IPsec заслуживает отличной оценки.
Минусом LT2P/IPsec (если кого-то в наше время беспокоят такие параметры) является то, что он использует почти в два раза больше ресурсов CPU для обеспечения двойного инкапсулирования.
SSTP (Secure Socket Tunneling Protocol)
SSTP (Протокол безопасного туннелирования сокетов (Secure Socket Tunneling Protocol) – еще одно детище Microsoft, представленное с выходом Windows Vista. На сегодняшний день в качестве SSTP-сервера может выступать уже не только Windows Server 2008/2012, но и машина под управлением Linux или RouterOS. Но в последних случаях это решение нельзя назвать полнофункциональным. Благодаря поддержке SSL v.3, SSTP может работать без конфигурации маршрутизатора/межсетевого экрана, а интегрированность в Windows упрощает настройку и обеспечивает стабильную работу. Для шифрования используется стойкий AES (до 256 бит шифрование с сертификатами до 2048-бит).
При том, что SSTP имеет множество плюсов и является молодой развивающейся технологией, на данный момент, это решение является действительно подходящим для Windows-сетей – в иных случаях можно столкнуться с ограничениями.
OpenVPN
OpenVPN – относительно молодая (увидела свет в 2002 году) open-source реализация VPN, распространяемая под лицензией GNU GPL. Безопасность разворачиваемых туннелей здесь обеспечивается библиотекой OpenSSL , которая предлагает большой ассортимент открытых инструментов шифрования (Blowfish, AES, Camelia, 3DES, CAST и т.д.). От выбранного алгоритма зависит и скорость работы OpenVPN. Как правило, эта реализация оказывается быстрее и скромнее в нагрузке на аппратные ресурсы сравнительно с L2TP/IPsec.
Еще один существенный плюс OpenVPN – возможность проходить через NAT и Firewall без их дополнительной конфигурации по стандартному для HTTPS порту TCP 443 благодаря SSL/TLS-инкапсуляции. Предусмотрена и работа по протоколу UDP – именно этот вариант установлен в конфигурации по умолчанию. ТCP обеспечивает высокую надёжность передачи данных, однако имеет большие задержки по сравнению с UDP, который выигрывает в скорости за счёт отсутствия подтверждения доставки пакетов. При использовании же протокола TCP OpenVPN оказывается самым медленным участником нашего обзора.
В OpenVPN также используется инструмент LZO для сжатия данных.
Благодаря широким возможностям конфигурации и поддержке большинства ОС, OpenVPN стал очень популярным продуктом. Единственный нюанс – необходимость установки стороннего ПО, хотя и достаточного ненавязчивого. В нашей базе знаний представлены пошаговые инструкции по конфигурации OpenVPN-сервера на Ubuntu/Debian, CentOS, Windows . Для развертывания виртуальной частной сети вы можете использовать наш облачный VPS-сервер .
В этой реализации также предусмотрен ряд дополнительных возможностей безопасности частной сети. Обзор основных из них вы также можете найти в нашей базе знаний.
Гибкость OpenVPN может породить лишь одну проблему – сделать конфигурацию весьма утомительной. Но эта проблема может быть решена через подготовку преднастроенных установочных клиентских пакетов или через использование OpenVPN Remote Access Server .
Заключение
Выбор подходящей реализации VPN зависит от ваших конкретных задач. Ниже приведены основные тезисы представленного выше краткого обзора, призванные помочь в этом выборе.
Протокол PPTP стабилен и прост в использовании, но в наши дни очень уязвим с точки зрения безопасности, поэтому подходит для ситуаций, в которых конфиденциальность туннеля не играет решающего значения. Хотя и в этом случае все преимущества PPTP можно найти и в IPsec или L2TP+IPsec, будь то кроссплатформенность или порог вхождения в конфигурацию для администратора. При этом, LT2P/IPsec предлагает значительно более высокий уровень безопасности.
IPsec может работать с большим количеством алгоритмов шифрования и аутентификации для VPN, хотя сам по себе является не реализацией технологии виртуальных частных сетей, а стеком протоколов для защиты IP-пакетов при их передаче. При этом IPsec вполне подходит для развертывания VPN, «заточенных» на безопасность. Обычно для этих целей IPsec используется в связке с L2TP, но в последнее время наблюдаются некоторые перемены в этой практике. В целом, широкие возможности IPsec позволяют считать его одним из лучших решений для VPN.
L2TP в связке с IPsec является хорошим решением и с точки зрения безопасности, и в плане совместимости с популярными ОС. Может также потребоваться дополнительная настройка роутера/firewall на разрешение используемых LT2P/IPsec портов (UDP 1701, UDP 4500, UDP 500). Второй минус – двойная инкапсуляция, приводящая к замедлению работы туннеля.
Протокол SSTP удобен в конфигурации, стабилен и достаточно безопасен, но его существенный недостаток лежит в аспекте кроссплатформенности – данная реализация сильно привязана к системам, предлагаемым Microsoft. При работе на альтернативных платформах функциональность SSTP обычно оказывается не такой привлекательной.
OpenVPN можно назвать оптимальным выбором для большинства стандартных пользовательских задач. В этой реализации сбалансированы:
- Скорость: за счет сжатия LZO и возможности работы по протоколу UDP
- Стабильность: особенно при работе через TCP
- Гибкость конфигурации: предусмотрены дополнительные опции, например, балансировка нагрузки, различные типы аутентификации
- Кроссплатформенность: наличие клиентских приложений для большинства современных ОС, в т.ч. мобильных
- Безопасность: благодаря работе со всеми инструментами библиотеки openssl
Сами перечисленные выше широкие возможности порождают и недостаток OpenVPN – первичная конфигурация может оказаться сложнее, чем в случае с другими реализациями. Хотя эта проблема отчасти устраняется возможностью быстро развернуть сервер виртуальной частной сети из стандартной конфигурации, наличием таких решений как OpenVPN Remote Access Server для создания VPN «из коробки», и возможностью сервера передавать существенную часть параметров подключения клиентам без их указания в клиентской конфигурации вручную.
Так или иначе, реализация OpenVPN видится нам самым сбалансированным решением, хотя с точки зрения безопасности она, возможно, может конкурировать с IPsec/L2TP.
Для внедрения VPN в свою инфраструктуру вы можете использовать услуги многочисленных VPN-провайдеров. Но, во-первых, такое решение обычно обходится недешево, особенно при необходимости подключения к сети большого количества клиентов. Во-вторых, при таком подходе вы доверяете выбранному провайдеру свои корпоративные или личные данные, ведь большая часть трафика (по крайней мере, открытого) для него прозрачна.
Более надежным и гибким сценарием является самостоятельная настройка VPN на физическом или виртуальном сервере (VPS/VDS) . Например, вы можете создать виртуальную частную сеть OpenVPN по одной из наших пошаговых инструкций (Windows, Linux), используя облачный VPS/VDS сервер от 1cloud. Для этой задачи будет достаточно минимальной аппаратной конфигурации сервера, а стоимость оборудования в месяц ниже, чем средняя по рынку цена готовых услуг по предоставлению VPN для нескольких устройств. К тому же, собственное решение в любой момент масштабируется под текущую нагрузку на виртуальную частную сеть.
В качестве заключающего комментария отметим, 1cloud.ru предлагает к использованию готовую реализацию виртуальных сетей (VLAN) для арендуемых у нас серверов. Сеть между машинами создается прямо в панели управления или через API в несколько шагов, что исключает необходимость вникать в конфигурацию VPN, если ваша задача – просто сгруппировать несколько серверов в VLAN и, возможно, отключить доступ извне к некоторым из них. Скорость наших частных сетей – 1Гбит/с, а их использование бесплатно.
P. S. Другие инструкции:
Спасибо за Вашу оценку! К сожалению, проголосовать не получилось. Попробуйте позже
Объяснение 4 основных типов VPN и когда их использовать
Доступ ко всем цифровым ресурсам, которые могут вам понадобиться, независимо от того, где вы находитесь и какое у вас подключение к сети, стало для большинства людей образом жизни. Независимо от того, являетесь ли вы компанией, которая обменивается данными с другими компаниями, или путешественником, которому необходимо всегда оставаться на связи, доступ к ресурсам является само собой разумеющимся.
В то время как приложения, размещенные в общедоступном облаке, значительно упрощают определение местоположения, многие ресурсы размещаются в частном порядке по таким причинам, как безопасность и конфиденциальность.
Доступ к этим частным ресурсам часто осуществляется через VPN (виртуальные частные сети). Технология VPN — это довольно простая идея: безопасно подключить человека, которому вы доверяете, к нужному ему ресурсу через сеть, которой вы не доверяете.
Windows, Mac и мобильные операционные системы часто имеют встроенные стандартные опции клиента VPN. Например, Mac OS X включает L2TP (протокол туннелирования уровня 2) поверх IPsec и PPTP (протокол туннелирования точка-точка). Даже Cisco IPsec, основанный на стандартах, плюс некоторые усовершенствования Cisco, является включенной опцией для пользователей Mac.
Уловка заключается в том, чтобы знать, какой тип VPN и когда использовать. Давайте рассмотрим несколько типов VPN и подумаем, где они подходят. Мы рассмотрим два основных типа VPN: то, что я назову VPN на основе клиента и сетевым VPN .
VPN на основе клиента
Клиентская VPN — это виртуальная частная сеть, созданная между одиночным пользователем и удаленной сетью. Часто для установления связи используется приложение.
В большинстве сценариев пользователь вручную запускает VPN-клиент и выполняет аутентификацию, используя имя пользователя и пароль.Клиент создает зашифрованный туннель между компьютером пользователя и удаленной сетью. Затем пользователь получает доступ к удаленной сети через зашифрованный туннель.
Примеры клиентских приложений VPN включают Cisco AnyConnect, Pulse (ранее Juniper) и GlobalProtect Palo Alto Networks.
В чем выгода?
Клиентские приложения VPN позволяют пользователям легко подключать свои ноутбуки или мобильные устройства к вашим личным ресурсам из любого места.Например, я использую VPN-клиент на своем iPhone, iPad и Mac для подключения к штаб-квартире во время путешествий. Это позволяет мне удаленно управлять своей сетью через защищенный VPN-туннель, проложенный между моим устройством и брандмауэром штаб-квартиры.
Помимо базовых возможностей подключения, клиенты VPN предлагают расширенные функции безопасности. Один из них — это возможность тщательно проверить устройство пользователя, прежде чем подключать его к сети. Это дает ИТ-отделам возможность отклонять клиентские VPN-устройства по причинам, отличным от простого сбоя аутентификации.
КлиентыPremium VPN предоставляются за лицензию. Хотя клиентское программное обеспечение может быть бесплатным, брандмауэр обычно лицензируется по количеству одновременных разрешенных подключений VPN. Например, у вас может быть 1000 VPN-клиентов, развернутых на устройствах ваших пользователей, но вам нужно только лицензировать брандмауэр для поддержки 500 из них в любой момент времени.
Сетевой VPN
Сетевые VPN — это виртуальные частные сети, которые безопасно соединяют две сети вместе через ненадежную сеть.Одним из распространенных примеров является глобальная сеть на основе IPsec, где все офисы компании подключаются друг к другу через Интернет с помощью туннелей IPsec.
Существует несколько видов сетевых VPN. Мы рассмотрим три наиболее распространенных: туннели IPsec, динамические многоточечные VPN и L3VPN на основе MPLS.
1. Туннели IPsec
В принципе, сетевой VPN-туннель ничем не отличается от клиентского IPsec-туннеля. И сетевая, и клиентская реализации создают безопасный туннель, через который зашифрованный трафик проходит между сетями.В то время как туннель IPsec на основе клиента предназначен для инкапсуляции трафика для одного устройства, туннель IPsec на основе сети передает трафик для целых сетей устройств, позволяя им обмениваться данными.
В чем выгода?
Простейший вид сетевой VPN — это основанный на стандартах туннель IPsec. Большинство сетевых маршрутизаторов и брандмауэров способны их создать.
При построении туннеля IPsec между двумя сетями необходимо согласовать следующее:
- Какие два устройства будут конечными точками туннеля? (Кто будет говорить?).Обычно ответ — пара одиночных IP-адресов. Один администратор межсетевого экрана настраивает IP-адрес другого как IP однорангового узла .
- Как будут проходить аутентификацию туннелей? (Как мы будем доверять друг другу?). Чаще всего ответ — это предварительный общий ключ — пароль — или обмен сертификатами. Две конечные точки также должны согласовать способ шифрования трафика с использованием общего набора шифров.
- Какой трафик будет проходить через туннель? (О чем мы будем говорить?).На языке Cisco наиболее распространенный способ указать разрешенный трафик — использовать криптографический список доступа (ACL). Криптографический ACL определяет исходные IP-сети, которые могут взаимодействовать с IP-сетями назначения. Обе стороны туннеля должны иметь совпадающие элементы (пары IP-сетей) для формирования ассоциации безопасности и туннель для передачи ожидаемого трафика, обычно называемые VPN на основе политик, .
В отличие от туннелей IPsec на основе политик, туннели на основе маршрутов IPsec больше похожи на виртуальный канал, позволяющий любому трафику проходить через них.VPN на основе маршрутов доступны от многих поставщиков сетевых услуг, включая Cisco и Juniper. Однако доступность зависит от платформы.
Хотя IPsec VPN основаны на стандартах, производители часто применяют стандарты по-разному. Поэтому создание туннеля IPsec VPN между устройствами от двух разных поставщиков — это своего рода обряд для сетевых инженеров.
Я потратил много часов, пытаясь установить туннели IPsec между оборудованием Cisco и оборудованием Checkpoint или Juniper.Это можно сделать, но часто бывает сложно прочесать детали конфигурации и сообщения журнала, чтобы найти проблему, которая мешает формированию туннеля.
2. Динамическая многоточечная VPN (DMVPN)
Текущая версия DMVPN расширяет идею двухточечных туннелей IPsec до облака связанных сетей. С DMVPN любая сеть может взаимодействовать с любой другой сетью непосредственно через облако DMVPN.
В чем выгода?
DMVPNустраняют необходимость знать удаленные IP-адреса, позволяя динамически назначаемым IP-адресам безопасно подключаться к инфраструктуре, регистрируя их IP-адрес на концентраторе DMVPN NHRP.Это позволяет масштабировать решение до тысяч участвующих сайтов. Конечный результат похож на традиционное WAN-соединение.
Вы можете использовать DMVPN для подключения удаленных сайтов к более крупной корпоративной сети через общедоступный Интернет, используя стандартную конфигурацию маршрутизатора, которая после завершения является автоматической. Например, я использовал маршрутизаторы DMVPN для пользователей домашнего офиса, чтобы обеспечить избыточное подключение к головным узлам и минимизировать задержку голосовых вызовов между узлами. Достижение избыточности головного узла или уменьшения задержки невозможно (в практическом смысле) с традиционными туннелями IPsec точка-точка VPN.
DMVPN — это сложная технология, требующая использования туннелей GRE, IPsec, NHRP (протокол разрешения следующего шага) и протокола маршрутизации — все взаимозависимые компоненты, обеспечивающие связь с полной ячеистой структурой. Чтобы упростить сложность, Cisco предлагает отличное руководство по проектированию DMVPN, которое может помочь архитекторам сети определить наиболее подходящий дизайн для своей среды, а также базовые конфигурации.
Для реализации DMVPN требуются устройства, которые могут завершать туннель DMVPN. DMVPN — это технология Cisco, и по большей части это означает, что DMVPN ограничивается маршрутизаторами Cisco.Несмотря на свою популярность, межсетевые экраны Cisco ASA не поддерживают DMVPN.
3. L3VPN на базе MPLS
В качестве бонуса я подумал, что кратко упомяну L3VPN, наиболее часто развертываемое приложение в многопротокольных сетях с коммутацией меток (MPLS).
MPLS чаще всего встречается в сетях поставщиков услуг. MPLS позволяет поставщикам услуг виртуализировать свои сети, чтобы клиенты могли совместно использовать физическую сеть, но при этом оставаться логически разделенными. MPLS не ограничивается поставщиками услуг; некоторые крупные предприятия используют MPLS внутри своих собственных глобальных инфраструктур.
На другом конце канала WAN находится маршрутизатор на границе поставщика (PE) . Маршрутизатор PE отбрасывает трафик из канала вашей компании в экземпляр виртуального переадресации маршрута (VRF) , который является уникальным для вашей компании, а затем перенаправляет его в основной маршрутизатор провайдера , используя MPLS для тегирования трафика и идентификации трафика VRF. принадлежит.
В чем выгода?
Если ваша компания получает услугу WAN от поставщика услуг, он, скорее всего, предлагает вашей компании услуги L3VPN через свою сеть MPLS.В этом сценарии каждый офис в вашей компании подключается к поставщику услуг через то, что поставщик услуг видит как клиентский маршрутизатор — тот, который соединяет канал WAN от поставщика услуг с остальной частью вашей сети. Купите услугу L3VPN у поставщика, если вам необходимо национальное или международное соединение между удаленными офисами и должна быть гарантия обслуживания.
Для вашей компании этот L3VPN невидим. Вам не нужно запускать MPLS. Вы не видите, как трафик безопасно перенаправляется через магистраль провайдера.Точно так же вы можете взаимодействовать с провайдером, используя маршрутизацию OSPF или BGP, чтобы объявить им свои маршруты, которые они будут передавать в уникально назначенном вам VRF. Но помимо этого, вы знаете только, что ваш трафик идет в один маршрутизатор, а выходит на другой.
Хотя создание DMVPN через Интернет является жизнеспособным решением для подключения, Интернет-сервис может быть не таким надежным, как требуется вашей компании, в зависимости от ваших требований. Провайдер услуг может определять приоритеты голосового и видеотрафика (при условии, что он отмечен соответствующим образом), в то время как Интернет не может сделать такой дифференциации.
С другой стороны, пропускная способность интернета значительно дешевле по сравнению с пропускной способностью частной глобальной сети, работающей через службу L3VPN оператора. По этой причине многие предприятия время от времени соглашаются с риском плохого качества сети и отказываются от своих частных глобальных сетей в пользу некоторой разновидности VPN через Интернет.
5 важных типов VPN в 2021 году
ВведениеВиртуальная частная сеть (VPN) — это метод создания защищенного подключения «от» и «к» компьютеру или сети.Виртуальная частная сеть (VPN) использует ограниченное и надежное шифрование, частный доступ к данным, который обеспечивает безопасность данных от различных клиентов базовой сети, которая часто может быть общедоступной сетью, такой как Интернет. Виртуальная частная сеть используется довольно давно; Однако только в последние годы они стали крепче. Они более разумны и намного быстрее.
- Типы VPN
- Типы протоколов VPN
1)
Типы VPN Виртуальная частная сеть (VPN)устанавливает зашифрованное соединение, известное как туннель виртуальной частной сети, и весь интернет-трафик и корреспонденция проходит через этот защищенный туннель.Следовательно, сохранение конфиденциальности и безопасности данных клиента.
Существует 2 основных типа VPN, которые поясняются ниже.
- Виртуальная частная сеть с удаленным доступом:
Виртуальная частная сеть с удаленным доступом позволяет клиенту подключаться к частной сети и получать удаленный доступ ко всем ее ресурсам и службам. Соединение между частной сетью и пользователем происходит через Интернет, и соединение является частным и безопасным.Виртуальная частная сеть с удаленным доступом полезна как для корпоративных, так и для домашних пользователей.
Корпоративный служащий, находясь вне станции, использует виртуальную частную сеть для подключения к частной сети своей организации и удаленного доступа к ресурсам и файлам в частной сети. Домашние пользователи или частные пользователи виртуальной частной сети в основном используют службы виртуальной частной сети, чтобы обойти локальные ограничения в Интернете и получить доступ к заблокированным сайтам. Пользователи, заботящиеся о безопасности в Интернете, также используют услуги виртуальной частной сети для повышения своей конфиденциальности и безопасности в Интернете.
- Виртуальная частная сеть типа «сеть-сеть»:
Виртуальная частная сеть типа «сеть-сеть» дополнительно называется виртуальной частной сетью «маршрутизатор-маршрутизатор» и обычно используется в крупных организациях. Организации или компании с филиалами в различных областях используют виртуальную частную сеть типа «сеть-сеть» для подключения сети одного офиса к сети другого офиса.
- Виртуальная частная сеть на основе интрасети: Когда несколько рабочих мест в аналогичной организации соединяются с использованием типа виртуальной частной сети типа «сеть-сеть», это называется виртуальной частной сетью на основе интрасети.
- Виртуальная частная сеть на основе экстрасети: Когда организации используют тип виртуальной частной сети типа «сеть-сеть» для подключения к рабочему месту другой организации, это называется виртуальной частной сетью на основе экстрасети.
По сути, виртуальная частная сеть типа «сеть-сеть» создает причудливый каркас между сетями в топографически удаленных офисах и соединяет их через Интернет, а также поддерживает частную и безопасную переписку между сетями.В виртуальной частной сети типа «сеть-сеть» один коммутатор выступает в качестве клиента виртуальной частной сети, а другой коммутатор — в качестве сервера виртуальной частной сети, поскольку это зависит от соответствия между маршрутизаторами. После утверждения проверки между двумя коммутаторами только тогда начинается соответствие.
2) Типы протоколов VPNУказанные выше 2 типа виртуальных частных сетей зависят от различных типов протоколов vpn. Каждый из этих протоколов виртуальной частной сети предлагает различные уровни безопасности и функций, которые поясняются ниже:
Безопасность интернет-протокола (IPSec):Internet Protocol Security (IPSec) используется для получения Интернет-корреспонденции по IP-сети.Безопасность Интернет-протокола получает соответствие Интернет-протоколу, проверяя встречу, и шифрует каждую посылку данных во время соединения.
Internet Protocol Security работает в 2 режимах, таких как режим туннелирования и транспортный режим, чтобы гарантировать перемещение данных между двумя отдельными сетями.
Работа в режиме туннелирования заключается в шифровании всего пакета данных, а в транспортном режиме — в шифровании сообщения в пакете данных. Безопасность интернет-протокола также может использоваться с другими протоколами безопасности для улучшения структуры безопасности.
Протокол туннелирования уровня 2 (L2TP):Layer 2 Tunneling Protocol (L2TP) — это протокол туннелирования, который часто объединяется с другим соглашением о безопасности виртуальной частной сети, таким как Internet Protocol Security, для установки исключительно безопасного соединения с виртуальной частной сетью. Протокол туннелирования уровня 2 обеспечивает переход между двумя фокусами L2TP-соединений, а протокол безопасности Интернет-протокола шифрует данные и поддерживает безопасное соответствие между туннелями.
Протокол туннелирования точка-точка (PPTP):Point-to-Point Tunneling Protocol (PPTP) создает туннель и ограничивает пакет данных. Протокол точка-точка используется для шифрования данных между соединениями. Протокол «точка-точка», возможно, является наиболее часто используемым протоколом виртуальной частной сети и используется с самого раннего появления Windows. Протокол точка-точка дополнительно используется в Linux и Mac отдельно от Windows.
TLS и SSL:TLS (Transport Layer Security) и SSL (Secure Sockets Layer) создают виртуальное частное сетевое соединение, в котором интернет-браузер выступает в качестве пользователя, а клиентский доступ запрещен для явных приложений, а не для всей сети. Интернет-магазины обычно используют протокол Transport Layer Security и Secure Sockets Layer. Переключиться на Secure Sockets Layer с помощью интернет-браузеров несложно и практически без каких-либо действий со стороны клиента, поскольку интернет-браузеры поставляются с TLS и SSL.Соединения уровня защищенных сокетов имеют в основе URL-адреса «HTTPS», а не «HTTP».
Безопасная оболочка (SSH):Secure Shell (SSH) создает туннель виртуальной частной сети, через который происходит перемещение данных, и гарантирует, что туннель закодирован. Соединения Secure Shell создаются заказчиком Secure Shell, и данные перемещаются с порта соседства на удаленный сервер через закодированный туннель.
ЗаключениеВиртуальная частная сеть (VPN ) , которая позволяет клиенту безопасно и конфиденциально подключаться к частной сети через Интернет.Выбрать лучшую виртуальную частную сеть непросто. Он зависит от многих компонентов, таких как количество клиентов, стоимость, безопасность и пропускная способность.
Для одиночных клиентов виртуальная частная сеть с протоколом «точка-точка» предлагает наилучшее расположение, однако для огромных рабочих мест или тех, которые имеют сложные предпосылки для подключения, виртуальная частная сеть с коммутацией меток по нескольким протоколам может быть наиболее идеальным выбором. Многопротокольная коммутация меток — не что иное, как плохой вариант для удаленного доступа для отдельных клиентов, но для связи между сайтами они являются наиболее масштабируемой и гибкой альтернативой.
Итак, вы решили сделать карьеру в сфере кибербезопасности? Посетите наш мастер-сертификат в области кибербезопасности (Red Team) для получения дополнительной помощи. Это первая программа по наступательным технологиям в Индии, которая позволяет учащимся практиковаться в смоделированной экосистеме в реальном времени, что даст им преимущество в этом конкурентном мире.
ТАКЖЕ ПРОЧИТАЙТЕтипов VPN-подключения (Windows 10) — Microsoft 365 Security
- 2 минуты на чтение
В этой статье
Относится к
- Windows 10
- Windows 10 Mobile
Виртуальные частные сети (VPN) — это двухточечные соединения в частной или общедоступной сети, такой как Интернет.Клиент VPN использует специальные протоколы на основе TCP / IP или UDP, называемые протоколами туннелирования , для виртуального вызова виртуального порта на сервере VPN. В типичном развертывании VPN клиент инициирует виртуальное двухточечное соединение с сервером удаленного доступа через Интернет. Сервер удаленного доступа отвечает на вызов, аутентифицирует вызывающего абонента и передает данные между VPN-клиентом и частной сетью организации.
Есть много вариантов для клиентов VPN. В Windows 10 встроенный подключаемый модуль и подключаемая платформа VPN универсальной платформы Windows (UWP) построены на основе платформы Windows VPN.В этом руководстве основное внимание уделяется клиентам платформы Windows VPN и настраиваемым функциям.
Встроенный VPN-клиент
Протоколы туннелирования
Internet Key Exchange, версия 2 (IKEv2)
Настройте криптографические свойства туннеля IPsec / IKE с помощью параметра Cryptography Suite в поставщике услуг конфигурации VPNv2 (CSP).
L2TP
L2TP с аутентификацией с предварительным общим ключом (PSK) можно настроить с помощью параметра L2tpPsk в VPNv2 CSP.
PPTP
SSTP
SSTP поддерживается только для настольных выпусков Windows. SSTP не может быть настроен с помощью управления мобильными устройствами (MDM), но это один из протоколов, используемых в опции Automatic .
Примечание
Когда используется подключаемый модуль VPN, адаптер будет указан как адаптер SSTP, даже если используемый протокол VPN является протоколом подключаемого модуля.
Автомат
Параметр Automatic означает, что устройство будет пробовать каждый из встроенных протоколов туннелирования, пока один из них не будет успешным.Он будет пытаться перейти от наиболее безопасного к наименее безопасному.
Настройте Автоматический для параметра NativeProtocolType в VPNv2 CSP.
Плагин VPN для универсальной платформы Windows
Плагины VPN для универсальной платформы Windows (UWP) были представлены в Windows 10, хотя изначально были доступны отдельные версии для платформ Windows 8.1 Mobile и Windows 8.1 для ПК. Используя платформу UWP, сторонние поставщики VPN могут создавать подключаемые модули в контейнерах приложений с использованием API WinRT, устраняя сложность и проблемы, часто связанные с записью в драйверы системного уровня.
Существует ряд приложений VPN на универсальной платформе Windows, таких как Pulse Secure, Cisco AnyConnect, F5 Access, Sonicwall Mobile Connect и Check Point Capsule. Если вы хотите использовать подключаемый модуль UWP VPN, обратитесь к поставщику за любыми индивидуальными настройками, необходимыми для настройки вашего решения VPN.
Настроить тип подключения
См. Параметры профиля VPN и VPNv2 CSP для конфигурации XML.
На следующем изображении показаны параметры подключения в политике конфигурации профиля VPN с использованием Microsoft Intune:
В Intune вы также можете включить настраиваемый XML для сторонних профилей подключаемых модулей:
Типы протоколов VPN — StrongVPN
StrongVPN использует разные протоколы VPN для установления соединения VPN.Если вы хотите узнать больше об используемых нами протоколах, это руководство может вам помочь.
Что такое протоколы VPN?
ПротоколыVPN относятся к набору инструкций, используемых поставщиками услуг VPN для обеспечения стабильной и безопасной связи между клиентом VPN и сервером VPN. Он определяет, как ваши данные передаются через VPN-туннель. Есть разные способы шифрования ваших интернет-коммуникаций. Каждый протокол VPN имеет свою спецификацию, и вы можете выбрать их в соответствии со своими потребностями.
Типы протоколов VPN
WireGuard®
(Более подробную информацию об этом протоколе см. В статье здесь)
WireGuard — это протокол VPN нового поколения, разработанный как более простой и быстрый протокол VPN, который также обеспечивает современное шифрование.В целом WireGuard превосходит OpenVPN по скорости и не имеет накладных расходов, как IKEv2. WireGuard может повысить производительность, требуя меньше ресурсов памяти и ЦП. WireGuard использует современную криптографию, такую как структура протокола Noise, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash34, HKDF и безопасные доверенные конструкции.
OpenVPN
OpenVPN — это коммерческое программное обеспечение с открытым исходным кодом, которое поддерживает несколько типов методов аутентификации. Он реализует методы виртуальной частной сети (VPN) для создания безопасных соединений точка-точка или сайт-сеть в маршрутизируемых или мостовых конфигурациях и средствах удаленного доступа.Он использует специальный протокол безопасности, который использует SSL / TLS для обмена ключами. Протокол OpenVPN в приложении StrongVPN использует 53, 123, 443, 1194 и 8293 в приложениях Android и macOS и порт 1195 в приложении Windows. OpenVPN — предпочтительный выбор для тех, кто озабочен производительностью и безопасностью.
IKEv2
Internet Key Exchange Version 2 (IKEv2) — это протокол, который обрабатывает шифрование запросов и ответов. Это стабильный и безопасный протокол, который легко настроить.IKEv2 более стабильный, безопасный и быстрый по сравнению с традиционными протоколами VPN, такими как L2TP. IKEv2 работает на UDP-порту 500.
SSTP
Secure Socket Tunneling Protocol (SSTP) — это безопасный протокол туннелирования VPN. Он предлагает высокий уровень безопасности с помощью SSL-сертификата AES-256 для шифрования. SSTP использует SSL через TCP-порт 443, который позволяет обходить различные типы межсетевых экранов и прокси-серверов.
StrongVPN использует протоколы L2TP и IPSec для обеспечения обратной совместимости с устаревшими операционными системами и устройствами.
L2TP
Layer 2 Tunneling Protocol (L2TP) зависит от протокола шифрования, который проходит в туннеле для обеспечения анонимности. Его часто используют в паре с IPSec для защиты полезной нагрузки данных. L2TP требует портов UDP 500, 1701 и 4500 и протокола IP-ESP, который является протоколом IP 50.
IPSec
Internet Protocol Security (IPSec) — это сетевой протокол, который проверяет сеанс связи по интернет-протоколу и шифрует пакеты данных, отправляемые по IP-сети.Он шифрует трафик и скрывает его от конечного приложения. IPSec использует порт UDP 500, чтобы разрешить пересылку трафика через брандмауэры.
WireGuard — зарегистрированная торговая марка Джейсона А. Доненфельда.
Типы VPN для бизнеса
Виртуальная частная сеть (VPN) создает зашифрованное соединение между устройством и общедоступным Интернетом. Компании используют VPN для повышения своей безопасности, а также позволяют удаленным сотрудникам получать доступ к файлам компании.Вот что вам нужно знать о VPN, в том числе о том, как найти лучший VPN для вашего бизнеса.
Типы виртуальных частных сетей
Хотя виртуальные частные сети предназначены для повышения безопасности, когда они находятся в сети, их приложения различаются для личного и коммерческого использования. В то время как личные VPN часто используются для защиты конфиденциальности пользователей в Интернете и улучшения доступа к более широкому спектру контента, предприятия обычно используют VPN для обеспечения безопасного обмена данными и доступа к файлам для сотрудников, которые могут находиться в разных местах.
«Услуги VPN для личного использования в основном используются для обеспечения анонимности при просмотре веб-страниц в Интернете, но они не добавляют особой безопасности», — пояснил Андрюс Уленскас, технический директор Hyve Managed Hosting. «Фактически, они могут иметь противоположный эффект, если провайдеру VPN не доверяют».
Таким образом, рекомендуется выбрать VPN для бизнеса. Чтобы помочь вам лучше понять возможные варианты, здесь описаны пять распространенных типов VPN.
Удаленный доступ
VPN с удаленным доступом подключают устройства к удаленному серверу, расположенному в другой стране.Это позволяет пользователям просматривать Интернет в этой сети, а также шифровать любые данные, отправленные и полученные во время сеанса. Пользователи могут наслаждаться конфиденциальностью и защитой своих личных данных, а также получать доступ к веб-сайтам и контенту, привязанным к региону. Кроме того, VPN с удаленным доступом, как правило, относительно недороги, что делает их популярным выбором для частных лиц и малых предприятий.
Хотя виртуальные частные сети удаленного доступа являются наиболее часто используемым решением VPN, они оптимизированы для личных или однопользовательских конфигураций.Таким образом, они не обязательно могут соответствовать потребностям крупного бизнеса, в котором несколько пользователей из разных мест одновременно используют сеть. Усиленные потребности предприятий в безопасности и доступе часто превышают то, для чего обычно используется VPN удаленного доступа. Однако виртуальные частные сети удаленного доступа могут хорошо работать для малых предприятий (особенно с ограниченным числом сотрудников и / или офисов), а также для отдельных удаленных сотрудников.
Сайт-сайт
Вместо того, чтобы подключать устройства к одному удаленному серверу, виртуальные частные сети типа «сеть-сеть» (также известные как виртуальные частные сети «маршрутизатор-маршрутизатор») позволяют нескольким локальным сетям (LAN) безопасно подключаться друг к другу через Интернет.Это позволяет пользователям обмениваться ресурсами и сотрудничать в сети независимо от их физического местоположения, обеспечивая при этом безопасность связи и данных. По сути, VPN между маршрутизаторами устанавливает «мост» в Интернете между сетями в каждом офисе. Один маршрутизатор, по сути, функционирует как клиент VPN, а другой — как сервер. После подтверждения аутентификации между двумя маршрутизаторами можно начинать обмен данными.
Например, рассмотрим компанию, у которой есть офисы в Нью-Йорке и Юте.VPN типа «сеть-сеть» может соединить каждую из этих офисных сетей, позволяя членам команды из обеих сетей получать безопасный доступ к необходимым файлам компании. В результате связь между сайтами становится популярным вариантом VPN для предприятий, особенно тех, которые имеют несколько офисов или большое количество удаленных сотрудников.
VPN типа «сеть-сеть» требует для реализации специального оборудования, и их можно подразделить на два типа: интранет и экстранет.
- Интранет : В модели VPN на основе интрасети несколько офисов одной компании подключаются друг к другу с помощью VPN типа «сеть-сеть».Каждая локальная сеть подключена к одной глобальной сети (WAN), что позволяет пользователям из разных географических регионов быстро и безопасно обмениваться данными друг с другом. Это обычно используется организациями, имеющими несколько удаленных местоположений, но которым не нужно подключаться к другим внешним объектам по своей сети.
- Экстранет : В то время как интрасети VPN разрешают доступ только пользователям внутри предприятия, экстрасеть VPN соединяет локальные сети двух или более разных организаций для доступа к общей инфраструктуре.Это позволяет всем сторонам получать доступ к одной и той же сети, а также защищает соответствующие частные интрасети и коммуникации каждой компании. Экстранет VPN может быть полезен для организаций, которые хотят безопасно подключаться к внешним клиентам, поставщикам или деловым партнерам.
Клиентские
Клиентские VPN позволяют пользователям подключаться к удаленной сети через приложение или клиент, который управляет установлением и поддержанием процесса связи в VPN. Программное обеспечение должно быть установлено или доступно на отдельном устройстве, а затем запущено и аутентифицировано с помощью имени пользователя и пароля VPN.Этот процесс устанавливает зашифрованное соединение между устройством и удаленными данными, обеспечивая безопасный обмен данными.
В то время как крупным корпорациям с несколькими офисами может потребоваться мощность соединения VPN типа «сеть-сеть», клиентские VPN могут быть идеальным решением для отдельных бизнес-пользователей и удаленных сотрудников, которым необходим доступ к основной сети компании.
Безопасность VPN и типы протоколов
У разных поставщиков VPN есть разные инструкции, определяющие, как ваши данные будут маршрутизироваться между устройством и сервером VPN.Эти инструкции также известны как протоколы VPN и используются для обеспечения безопасного и стабильного соединения. Ниже приведены шесть распространенных типов протоколов VPN.
Безопасность интернет-протокола (IPSec)
IPSec используется для обеспечения безопасности интернет-коммуникаций в IP-сети. Это делается путем проверки сеанса и последующего шифрования каждого пакета данных на время соединения. IPSec может работать в двух режимах: транспортном и туннельном. В транспортном режиме сообщение шифруется внутри пакета данных, а в режиме туннелирования шифруется весь пакет данных.IPSec часто используется с другими протоколами для дальнейшего повышения безопасности.
Протокол туннелирования уровня 2 (L2TP)
L2TP определяет, как данные должны передаваться от одного устройства или сети к другому. Туннелирование включает преобразование данных в другой формат для их защиты. L2TP часто сочетается с другими протоколами безопасности VPN, чаще всего IPSec, для установления высокозащищенного соединения. В этом процессе L2TP создает туннель между двумя точками подключения L2TP, в то время как протокол IPSec шифрует данные и гарантирует, что связь между туннелем остается безопасной.
Протокол туннелирования точка-точка (PPTP)
Помимо создания туннеля между устройствами или сетями, PPTP ограничивает пакет данных. Затем протокол точка-точка (PPP) шифрует данные внутри соединения. PPTP используется с первых дней существования Windows, а также используется на устройствах Mac и Linux. Таким образом, это один из наиболее широко используемых протоколов VPN.
SSL и TLS
Уровень защищенных сокетов (SSL) и безопасность транспортного уровня (TLS) создают соединение VPN, в котором браузер действует как клиент.Доступ пользователей ограничен конкретными приложениями, а не всей сетью. (Вы узнаете, что веб-сайт имеет сертификат SSL, если увидите значок замка, а также «HTTPS» в адресной строке вместо «HTTP».) Этот тип протокола обычно используется веб-сайтами электронной коммерции.
OpenVPN
VPN с открытым исходным кодом имеют исходный код, доступный для просмотра и использования всем, в то время как VPN с закрытым исходным кодом ограничивают исходный код разработчиками. Другие разработчики и внешние стороны могут проверять и анализировать VPN с открытым исходным кодом и быстро выявлять недостатки или уязвимости безопасности.Одна из самых известных сетей VPN с открытым исходным кодом — OpenVPN, которая обычно используется для создания соединений точка-точка и между сайтами. Его протокол безопасности основан на SSL и TSL.
Безопасная оболочка (SSH)
Другой протокол туннелирования VPN — это SSH, который генерирует зашифрованный туннель VPN, через который может происходить передача данных. SSH-соединения генерируются SSH-клиентами; затем данные передаются с удаленного сервера через зашифрованный туннель.
К наиболее популярным типам протоколов VPN относятся IPSec в сочетании с L2TP, поскольку оба протокола вместе обеспечивают одно чрезвычайно безопасное шифрование.OpenVPN также является популярным вариантом из-за его высокой безопасности и совместимости со всеми устройствами и операционными системами. Большинство VPN-сервисов позволяют пользователям выбирать желаемый протокол; Рекомендуется выбрать OpenVPN или L2TP с IPSec, чтобы обеспечить вашему бизнесу наиболее полный доступ и безопасность.
Какой тип VPN лучше всего подходит для бизнеса?
Выбор лучшей бизнес-сети VPN для вашей организации будет зависеть от потребностей вашей компании. Изучив свои варианты, вы можете даже выбрать альтернативу VPN.Однако, если вы решите приобрести корпоративную VPN, следует учитывать несколько факторов, в том числе следующие:
- Удаленный доступ по сравнению с межсайтовым доступом. Подумайте, сколько у вас сотрудников и офисов, а также сколько вам нужно будет подключить.
- Уровень аутентификации. Протоколы VPN определяют простоту использования сети и уровень безопасности. VPN с удаленным доступом аутентифицируют пользователей с помощью имен пользователей и паролей, в то время как VPN типа «сеть-сеть» используют сертификаты и парольные фразы, которые уже были загружены в оборудование.
- Уровень управления. Для небольших сетей уровни доступа обычно настраиваются для каждого пользователя. В более крупных сетях глобальное управление позволяет администраторам назначать уровни разрешений группам сотрудников.
Учтите эти факторы при выборе лучшего поставщика VPN для вашего бизнеса.
10 протоколов VPN | IPSec, PPTP, L2TP, MPLS и т. Д. ⋆ IpCisco
Типы VPN
VPN (виртуальная частная сеть) — это технология, которая обеспечивает пользователям безопасное подключение к частной сети через Интернет.За счет шифрования соединений VPN обеспечивает безопасность в этом типе связи. В основном эта безопасность обеспечивается через VPN-туннель и обеспечивает надежное соединение, избегая любых хакерских атак. Различные типы VPN Протоколы и VPN обеспечивают различные защищенные соединения.
Есть два основных Типы VPN . Вот эти VPN типов :
- Удаленный доступ VPN
- Site-to-Site VPN
В этом уроке мы подробно изучим типы VPN .Давайте начнем.
VPN с удаленным доступом
VPN с удаленным доступом — это первый из двух типов VPN. VPN с удаленным доступом — это тип VPN, с помощью которого пользователи могут получать удаленный доступ к частным сетям через Интернет.
Этот тип VPN обеспечивает возможность доступа к сети для удаленных пользователей, командировочных сотрудников, а также любых сотрудников, находящихся далеко от компании. VPN с удаленным доступом обычно используется в корпоративных сетях.С помощью VPN с удаленным доступом пользователи могут использовать ресурсы своей корпоративной сети, поскольку они подключены непосредственно к своей сети.
Помимо корпоративного использования, этот тип VPN также используется в домашних сетях. Любые домашние пользователи могут использовать Remote Access VPN для подключения к Интернету. Таким образом домашние пользователи могут избежать любых региональных ограничений, таких как блокировка веб-сайтов и т. Д. Кроме того, домашние пользователи используют это также для большей безопасности при подключении к Интернету.
VPN между сайтами
Site to Site VPN — это тип VPN, который используется между разными местоположениями компаний.С помощью этого типа VPN сайты компаний, которые находятся в географически разных местах, надежно соединяются через Интернет.
Существует два разных типа sub Site to Site VPN . Это:
- VPN на базе интрасети
- VPN на основе экстрасети
В VPN на базе интрасети филиалы компании подключены через Интернет, поскольку они находятся в одной сети.В этом стиле только одна компания, ее филиалы и нет вечной связи.
В VPN на базе экстранета различные компании подключаются через Интернет. Как следует из названия VPN, здесь каждая компания связана с внешней компанией.
Протоколы VPN
Существуют разные типы протоколов VPN . С помощью этих протоколов VPN могут быть обеспечены различные типы безопасности.Что это за протоколы VPN? Это:
- Безопасность интернет-протокола (IPSec)
- Протокол туннелирования уровня 2 (L2TP)
- Протокол туннелирования от точки к точке (PPTP)
- SSTP (протокол безопасного туннелирования сокетов)
- Internet Key Exchange, версия 2 (IKEv2)
- Secure Socces Layer (SSL) и безопасность транспортного уровня (TLS)
- OpenVPN
- Безопасная оболочка (SSH)
- MPLS VPN
- Гибридный VPN
Безопасность интернет-протокола (IPSec)
Один из наиболее важных протоколов VPN — это IPSec.IPSec — это протокол VPN , который обеспечивает безопасное соединение по IP-сетям. В этом протоколе VPN используются аутентификация и шифрование.
Существуют разные типы IPSec , и этот тип IPSec, существуют разные режимы шифрования. Это Transport Mode и Tunneling Mode . В режиме передачи только сообщение в трафике зашифровано. С другой стороны, в режиме туннелирования все данные шифруются.
IPSec немного сложно построить, и это также дорогое решение по сравнению с другими решениями VPN.
В уроке IPSec вы можете подробно изучить этот протокол.
Протокол туннелирования уровня 2 (L2TP)
Layer 2 Tunneling Protocol (L2TP) — еще один протокол VPN , который широко используется в сетевом мире. Вначале в нем много уязвимостей, но через некоторое время он используется с IPSec. IPSec обеспечивает дополнительную безопасность для L2TP . Здесь создание туннеля выполняется L2TP , а шифрование выполняется IPSec.
Туннельный протокол точка-точка (PPTP)
PPTP — широко используемый протокол туннелирования, который использует протокол Point-to-Point Protocol (PPP) для шифрования данных через туннель. PPTP — быстрый протокол по сравнению с другими протоколами туннелирования.Но у него есть уязвимости. С годами количество сетевых атак увеличилось, и эта уязвимость VPN стала серьезным пробелом. Таким образом, даже это широко используемый протокол VPN , PPTP не так безопасен, как другие протоколы туннелирования.
SSTP
SSTP (Secure Socket Tunneling Protocol) — это решение VPN , которое поставляется со встроенным решением Windows для VPN. Он похож на Open VPN, но вместо открытого решения используется в основном в Windows.Таким образом, это не самый популярный протокол VPN .
Из-за того, что он был разработан для Windows, в настоящее время он не используется широко в Linux и не может использоваться на Mac.
Безопасность SSTP (Secure Socket Tunneling Protocol). аналогична Open VPN, но для него вы должны немного доверять Windows.
IKEv2
Internet Key Exchange версии 2 (IKEv2) , был разработан Cisco и Microsoft.На самом деле это не протокол VPN. Он используется особенно для подключения мобильных устройств.
IKEv2 — это быстрый и безопасный протокол. Он использует различные механизмы шифрования, такие как AES, IPSec и т. Д.
Вернуться к: CCNP Enterprise 350-401 ENCOR> Технологии VPNЧто такое VPN? Описание виртуальных частных сетей
Что такое VPN?VPN (виртуальная частная сеть) — это служба, которая создает безопасное зашифрованное онлайн-соединение.Пользователи Интернета могут использовать VPN, чтобы обеспечить себе большую конфиденциальность и анонимность в Интернете или обойти блокировку и цензуру по географическому признаку. По сути, виртуальные частные сети расширяют частную сеть через общедоступную, что должно позволить пользователю безопасно отправлять и получать данные через Интернет.
Обычно VPN используется в менее защищенной сети, такой как общедоступный Интернет. Провайдеры интернет-услуг (ISP) обычно имеют довольно много информации о деятельности клиента.Кроме того, некоторые незащищенные точки доступа Wi-Fi (AP) могут быть удобным способом для злоумышленников получить доступ к личным данным пользователя. Пользователь Интернета может использовать VPN, чтобы избежать этих посягательств на конфиденциальность.
VPNможно использовать для сокрытия истории браузера пользователя, адреса Интернет-протокола (IP) и географического положения, активности в Интернете или используемых устройств. Никто в той же сети не сможет увидеть, что делает пользователь VPN. Это делает VPN незаменимым инструментом для обеспечения конфиденциальности в Интернете.
VPN использует протоколы туннелирования для шифрования данных на отправляющей стороне и дешифрования их на принимающей стороне.Сетевые адреса отправителя и получателя также зашифрованы, чтобы обеспечить лучшую безопасность онлайн-активности.
ПриложенияVPN часто используются для защиты передачи данных на мобильных устройствах. Их также можно использовать для посещения веб-сайтов, которые ограничены местоположением. Однако безопасный доступ через мобильный VPN не следует путать с приватным просмотром. Приватный просмотр не требует шифрования; это просто необязательная настройка браузера, которая предотвращает сбор идентифицируемых пользовательских данных.
Как работает VPN?На самом базовом уровне туннелирование VPN создает соединение точка-точка, к которому не могут получить доступ неавторизованные пользователи. Чтобы создать туннель, в существующих сетях используется протокол туннелирования. Разные VPN будут использовать разные протоколы туннелирования, такие как OpenVPN или Secure Socket Tunneling Protocol (SSTP). Используемый протокол может зависеть от платформы, на которой используется VPN, например, SSTP, используемого в ОС Windows, и будет обеспечивать шифрование данных с разной степенью защиты.На конечном устройстве должен быть запущен клиент VPN (программное приложение) локально или в облаке. Клиент будет работать в фоновом режиме. Это незаметно для конечного пользователя, если нет проблем с производительностью.
Используя VPN-туннель, устройство пользователя будет подключаться к другой сети, в то время как данные зашифрованы, а IP-адрес скрыт. Это то, что скроет личную информацию от злоумышленников или других лиц, надеющихся получить доступ к действиям человека. Туннель соединит устройство пользователя с выходным узлом в другом удаленном месте, что создает впечатление, что пользователь находится в другом месте.
VPN свяжут историю поиска пользователя с IP-адресом VPN-сервера. Сервисы VPN будут иметь серверы, расположенные в разных географических областях, поэтому будет выглядеть так, как будто пользователь может быть из любого из этих мест.
На производительность могут влиять многие факторы, такие как скорость интернет-соединений пользователей, типы протоколов, которые может использовать провайдер VPN, и тип шифрования, который он использует. На предприятии на производительность также может влиять низкое качество обслуживания (QoS), которое не контролируется отделом информационных технологий (ИТ) организации.
Аварийный выключатель — это последнее средство безопасности в некоторых продуктах VPN. Если VPN-соединение прерывается, аварийный выключатель автоматически отключит устройство от Интернета. Таким образом, нет никаких шансов раскрыть IP-адрес.
Есть два типа аварийных выключателей:
- Активные протоколы аварийного отключения предотвращают подключение устройств к небезопасным сетям, когда устройство подключено к VPN. Помимо сбоев сервера, он отключен, когда не подключен к VPN.
- Протоколы пассивного аварийного отключения более безопасны. Они не позволяют устройству подключаться к соединениям, отличным от VPN, даже когда оно отключено от сервера VPN.
используются для обеспечения виртуальной конфиденциальности как обычными пользователями Интернета, так и организациями. Организации могут использовать VPN, чтобы убедиться, что все внешние пользователи, которые получают доступ к их центрам обработки данных, авторизованы — с использованием зашифрованных каналов. Они также могут использовать VPN для подключения к базе данных той же организации, расположенной в другой области.
VPNтакже можно использовать для предоставления удаленным сотрудникам, фрилансерам и бизнес-путешественникам доступ к программным приложениям, размещенным в проприетарных сетях. Чтобы получить доступ к ограниченному ресурсу через VPN, пользователь должен быть авторизован для использования приложения виртуальной частной сети. Они должны предоставить один или несколько факторов аутентификации. Это могут быть пароли, токены безопасности или биометрические данные.
При просмотре веб-страниц злоумышленник может получить доступ к информации, включая сведения о привычках просмотра или IP-адресе.Если конфиденциальность вызывает беспокойство, тогда VPN может обеспечить пользователю душевное спокойствие. Шифрование, анонимность и возможность обходить географически заблокированный контент — вот что для большинства людей ценно в VPN. Кроме того, известно, что интернет-провайдеры ограничивают доступ пользователя в Интернет при использовании видеосервисов, таких как Netflix, что также тесно связано с сетевым нейтралитетом.
Возможность получить доступ к заблокированному контенту из другой страны, например, может быть чрезвычайно полезна для журналистов. Если страна, скорее всего, заблокирует доступ к интернет-контенту для иностранных организаций, журналисты могут использовать VPN, чтобы выглядеть так, как будто они находятся в этой стране.
Протоколы VPN ПротоколыVPN обеспечивают соответствующий уровень безопасности для подключенных систем, когда сама базовая сетевая инфраструктура не может этого обеспечить. Существует несколько различных протоколов, используемых для защиты и шифрования пользователей и корпоративных данных. В их число входят:
- IP-безопасность (IPsec)
- Уровень защищенных сокетов (SSL) и безопасность транспортного уровня (TLS)
- Протокол туннелирования точка-точка (PPTP)
- Протокол туннелирования уровня 2 (L2TP)
- OpenVPN
Преимущества использования VPN включают следующее:
- возможность скрыть IP-адрес пользователя и историю просмотров;
- безопасных соединений с зашифрованными данными;
- в обход геоблокированного контента;
- предотвращение дросселирования полосы пропускания; и
- , что затрудняет для рекламодателей нацеливание отдельных объявлений.
Однако при использовании VPN возникают следующие проблемы:
- Не все устройства могут поддерживать VPN.
- Платные VPN — это более надежные и безопасные варианты.
- VPN может снизить скорость интернета.
- По-прежнему существуют ограничения анонимности через VPN — например, отпечатки пальцев браузера все еще могут быть сделаны. VPN
- не защищают от всех угроз.
Любое устройство, которое получает доступ к изолированной сети через VPN, представляет риск попадания вредоносного ПО в эту сетевую среду — то есть, если в процессе подключения VPN не требуется оценка состояния подключаемого устройства.Без проверки на соответствие подключаемого устройства политикам безопасности организации злоумышленники с украденными учетными данными могут получить доступ к сетевым ресурсам, включая коммутаторы и маршрутизаторы.
Специалисты по безопасностирекомендуют администраторам сети рассмотреть возможность добавления компонентов программно определяемого периметра (SDP) в свою инфраструктуру защиты VPN, чтобы уменьшить потенциальные поверхности для атак. Добавление программирования SDP дает средним и крупным организациям возможность использовать модель с нулевым доверием для доступа как к локальным, так и к облачным сетевым средам.
Типы VPN
У сетевых администраторов есть несколько вариантов развертывания VPN.
VPN с удаленным доступомКлиенты удаленного доступа подключаются к серверу шлюза VPN в сети организации. Шлюз требует, чтобы устройство аутентифицировало свою личность перед предоставлением доступа к внутренним сетевым ресурсам. Этот тип обычно использует IPsec или SSL для защиты соединения.
Site-to-site VPN
В отличие от этого, VPN типа «сеть-сеть» использует устройство шлюза для подключения всей сети в одном месте к сети в другом месте.Устройства конечных узлов в удаленном месте не нуждаются в клиентах VPN, потому что шлюз обрабатывает соединение. Большинство сетей VPN типа «сеть-сеть», подключающихся через Интернет, используют IPsec. Они также часто используют облака с мультипротокольной коммутацией по меткам (MPLS), а не общедоступный Интернет в качестве транспорта для сетей VPN типа «сеть-сеть». Здесь также возможно подключение уровня 3 (MPLS IP VPN) или уровня 2 (служба виртуальной частной локальной сети), работающего через базовый транспорт.
Мобильный VPN
В мобильной VPN сервер по-прежнему находится на границе сети компании, обеспечивая безопасный туннельный доступ для аутентифицированных и авторизованных клиентов.Однако мобильные VPN-туннели не привязаны к физическим IP-адресам. Вместо этого каждый туннель привязан к логическому IP-адресу. Этот логический IP-адрес прикрепляется к мобильному устройству независимо от того, где оно может перемещаться. Эффективная мобильная VPN обеспечивает непрерывное обслуживание пользователей и может переключаться между технологиями доступа и несколькими общедоступными и частными сетями.
Аппаратный VPN
Аппаратные VPNпредлагают ряд преимуществ по сравнению с программными. Помимо повышенной безопасности, аппаратные VPN могут обеспечивать балансировку нагрузки для больших клиентских нагрузок.Администрирование осуществляется через интерфейс веб-браузера. Аппаратный VPN дороже, чем программный. Из-за стоимости аппаратные VPN более жизнеспособны для крупных предприятий. Несколько поставщиков, включая ирландского поставщика InvizBox, предлагают устройства, которые могут работать как аппаратные VPN.
Устройство VPN
Устройство VPN, также известное как устройство шлюза VPN , представляет собой сетевое устройство с расширенными функциями безопасности. Также известный как SSL VPN-устройство , это маршрутизатор, который обеспечивает защиту, авторизацию, аутентификацию и шифрование для VPN.
Динамическая многоточечная виртуальная частная сеть (DMVPN)
DMVPN обменивается данными между сайтами без необходимости проходить через VPN-сервер или маршрутизатор головного офиса организации. DMVPN создает ячеистую службу VPN, которая работает на маршрутизаторах VPN и концентраторах межсетевых экранов. На каждом удаленном сайте есть маршрутизатор, настроенный для подключения к устройству (концентратору) штаб-квартиры компании, обеспечивая доступ к доступным ресурсам. Когда два луча необходимы для обмена данными между собой — например, для телефонного звонка по протоколу IP (VoIP), — лучевое устройство свяжется с концентратором, получит необходимую информацию о другом конце и создаст динамический туннель IPsec VPN. прямо между ними.
Поставщики и продукты VPN УслугиVPN доступны в платных и бесплатных вариантах. Однако платные варианты от поставщиков, как правило, рекомендуются чаще, чем бесплатные. Вот некоторые примеры поставщиков:
- NordVPN содержит мощный набор функций безопасности с большим набором серверов. NordVPN имеет такие функции, как подключение к Tor, при этом сохраняя твердую позицию в отношении конфиденциальности клиентов.
- Private Internet Access — это приложение для iOS и Android, которое может поддерживать до 10 различных одновременных подключений.Однако он не предлагает слишком много дополнительных функций и инструментов конфиденциальности. Тем не менее, в целом считается, что это хороший VPN-сервис.
- ExpressVPN — это VPN-сервис с большим и разнообразным набором распределенных серверов. Он имеет строгие правила конфиденциальности и информации, ориентированные на безопасность, и предлагает дополнительные функции, такие как раздельное туннелирование. Он также использует протокол OpenVPN.
VPN легальны в США; однако сначала следует проверить, легальны ли они в своей стране.
Многие виртуальные частные сети предлагают технологии, близкие к аналогичным, поэтому бывает сложно выбрать, какая из них будет работать лучше всего. Платные услуги VPN, как правило, пользуются большим доверием и включают в себя другие функции безопасности. Хорошие VPN-сервисы заранее сообщают об их безопасности, их сильных и слабых сторонах и прозрачности — например, путем проведения сторонних аудитов. Таким образом, при поиске поставщика эти черты и особенности должны быть в голове у потенциального клиента. Дополнительные функции, которые может иметь VPN, включают раздельное туннелирование, доступ к сети Tor или множественные соединения.
После того, как люди посмотрят на добавленные функции и найдут услугу, которая, по их мнению, будет работать для них, будет хорошей идеей начать с краткосрочной подписки. Многие поставщики предлагают бесплатные пробные версии своих платных версий. Однако некоторые бесплатные пробные версии могут включать ограничение на использование данных. Цена на VPN может варьироваться от 10 до 13 долларов в месяц.
История VPN ТехнологияVPN началась в 1996 году, когда сотрудник Microsoft разработал PPTP.Протокол создает более безопасное частное соединение между пользовательским устройством и Интернетом. Несколько лет спустя, в 1999 году, эта спецификация была опубликована. По мере роста потребности в более безопасном подключении к Интернету, VPN начали свое развитие.
В начале 2000-х годов VPN в основном ассоциировались с бизнесом и использовались им. Эта технология еще не использовалась средними онлайн-пользователями. В то время компании использовали VPN для доступа к частным бизнес-сетям. В этом случае организации могли получать доступ к данным компании из любого места, как если бы они находились в офисе.Стал возможен безопасный обмен файлами между разными офисами.
После этого стандарты шифрования начали становиться более мощными, и начали разрабатываться новые протоколы туннелирования. По мере того как люди начали узнавать о потенциальных онлайн-угрозах и проблемах с конфиденциальностью, для виртуальных частных сетей начался поворот к новому рынку: индивидуальным домашним пользователям. Начали формироваться сторонние VPN-сервисы. Скандалы с конфиденциальностью, такие как WikiLeaks или отдельные утечки информации Эдварда Сноудена, внесли себя в современный дух времени.Примерно в 2017 году интернет-пользователи в Соединенных Штатах начали узнавать, что интернет-провайдеры могут собирать и продавать свою историю просмотров, и сетевой нейтралитет стал концепцией, за которую граждане должны были бороться — и фактически проиграли. В 2019 году палата представителей США приняла закон о восстановлении сетевого нейтралитета, но в конечном итоге был заблокирован Сенатом и президентом. С этого времени в разных штатах были приняты версии законов о сетевом нейтралитете. Благодаря этим знаниям концепция виртуальных частных сетей выросла до более обоснованной потребности для частных лиц.
.
Ваш комментарий будет первым