Файл: Принципы маршрутизации и преобразования ipтрафика в vpnсети, созданной с использованием технологии ViPNet.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 08.11.2023
Просмотров: 34
Скачиваний: 1
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
То есть с удаленным узлом устанавливается либо прямое соединение или соединение через один из серверов соединений. Если тестовые IP-пакеты никуда не дошли, то клиенты по-прежнему продолжают обмен между собой через свои серверы соединений.
Существует 4 типа динамического NAT: Cone NAT, Address-Restricted cone NAT или Restricted cone NAT.
Port-Restricted cone NAT, Symmetric NAT. Для установки прямого соединения в полной мере не поддерживается только Symmetric NAT. Но если хотя бы у одной стороны другой тип, то прямое соединение установится.
Таким образом, если существует возможность, узлы устанавливают взаимодействие друг с другом по кратчайшим маршрутам без участия координаторов, за счет чего повышается скорость обмена шифрованным IP-трафиком и снижается нагрузка на координаторы.
3.2.Работа клиента в локальной сети и другие особенности работы клиентских узлов
Если клиентский узел находится в маршрутизируемой по отношению к другим узлам сети, то клиент автоматически определяет эту ситуацию и соединение с другими узлами производится в соответствии с заданными маршрутами, а не через координаторы.
Если удаленный узел, с которым устанавливается соединение, не расположен за устройством NAT, то информация о возможности прямого доступа к нему сохраняется и при следующих соединениях с этим узлом, если не изменилось его местоположение, IP-трафик сразу начинает передаваться по прямому маршруту в соответствии с таблицей маршрутизации.
Сам пользователь или администратор может выбрать для клиента в качестве сервера соединений любой координатор. Это дает возможность пользователям с мобильными компьютерами или устройствами подключиться к VPN-сети в чужой локальной сети, где есть Координатор и с ним связан данный узел. В этом случае мобильный узел получает доступ ко всем ресурсам, как будто находится в его собственной локальной сети. Возможность смены Координатора полезна также в случае выхода из строя оборудования или каналов связи.
4.Р
АБОТА КООРДИНАТОРОВ В СЕТИ
V
I
PN
ET
4.1.Режим без использования межсетевого экрана
Как было сказано выше, этот режим главным образом используется на координаторах, которым выделен адрес в сети Интернет. Через этот координатор открытые узлы и узлы ViPNet локальной сети взаимодействуют с внешними ресурсами.
4.2.Режим межсетевого экрана «За координатором»
Установка координаторов внутри локальной сети в этот режим за координатор, стоящий на ее границе, приводит к следующим свойствам:
Координаторы ViPNet, защищающие сегменты локальной сети, автоматически отправляют зашифрованный ими туннелируемый трафик, предназначенный внешним защищенным ресурсам, на координатор на границе сети, который отправляет его дальше в соответствии с имеющейся у него информацией о внешних узлах.
Удаленные узлы ViPNet отправляют трафик, предназначенный ресурсам, защищаемым внутренним координатором, на внешний координатор, который перенаправляет его дальше.
Такое включение Координаторов называется «каскадным». Каскадное включение координаторов позволят защитить трафик с внутренним сегментом локальной сети, как в самой локальной сети, так и во внешней сети. Количество координаторов в каскаде не ограничивается.
Каскадирование координаторов позволяет также пропустить VPN-трафик по нужному маршруту в глобальной сети, что часто используется для его контроля в различных схемах администрирования.
4.3.Режим межсетевого экрана "Со статической трансляцией адресов".
В ряде случаев на границе локальной сети уже установлен межсетевой экран, выполняющий функции трансляции адресов с возможностью настройки статических правил трансляции адресов.
Координатор с частным IP-адресом может использовать этот межсетевой экран для взаимодействия с узлами ViPNet во внешних сетях. Для этого на координаторе выбирается режим межсетевого экрана
«Со статической трансляцией адресов" и задается порт, для взаимодействия с внешними узлами.
Если в локальной сети устанавливается несколько клиентов ViPNet, то в такой сети целесообразно установить Координатор в режиме межсетевого экрана "Со статической трансляцией адресов". В этом
случае на межсетевом экране потребуется сделать настройки только для координатора. Другие узлы
ViPNet будут работать с внешними узлами через координатор и межсетевой экран без дополнительных настроек на межсетевом экране
Для обеспечения прохождения трафика через внешний межсетевой экран, на нем должны быть настроены статические правила трансляции адресов, обеспечивающие:
Перенаправление входящих пакетов на адрес координатора в соответствии с заданным на координаторе портом доступа.
Пропуск во внешнюю сеть UDP-пакетов с адресом и портом координатора.
4.4.Режим межсетевого экрана "С динамической трансляцией адресов"
Как сказано выше, координатор в этот режим следует устанавливать, если локальная сеть к внешней сети подключается через устройства с динамическим NAT. Внутри локальной сети могут находиться и клиенты и туннелируемые ресурсы. Работа с такой сетью с других узлов также возможна в полном объеме с использованием внешнего сервера соединений, доступного для других узлов. Работа координатора в этом режиме аналогична описанной выше работе клиента
5.Т
УННЕЛИРОВАНИЕ ОТКРЫТЫХ РЕСУРСОВ
ViPNet будут работать с внешними узлами через координатор и межсетевой экран без дополнительных настроек на межсетевом экране
Для обеспечения прохождения трафика через внешний межсетевой экран, на нем должны быть настроены статические правила трансляции адресов, обеспечивающие:
Перенаправление входящих пакетов на адрес координатора в соответствии с заданным на координаторе портом доступа.
Пропуск во внешнюю сеть UDP-пакетов с адресом и портом координатора.
4.4.Режим межсетевого экрана "С динамической трансляцией адресов"
Как сказано выше, координатор в этот режим следует устанавливать, если локальная сеть к внешней сети подключается через устройства с динамическим NAT. Внутри локальной сети могут находиться и клиенты и туннелируемые ресурсы. Работа с такой сетью с других узлов также возможна в полном объеме с использованием внешнего сервера соединений, доступного для других узлов. Работа координатора в этом режиме аналогична описанной выше работе клиента
5.Т
УННЕЛИРОВАНИЕ ОТКРЫТЫХ РЕСУРСОВ
Для включения в виртуальную сеть ViPNet устройств или узлов локальной сети, трафик которых не требуется защищать в локальной сети, координатор выполняет функцию туннелирующего сервера (или
Крипто шлюза).
Координатор обеспечивает туннелируемые устройства сведениями об IP-адресах узлов сети ViPNet, выступает шлюзом для передачи трафика в сеть ViPNet, осуществляет инкапсуляцию в UDP-протокол и шифрование трафика от открытых устройств, осуществляет прием и передачу туннелированного трафика в сети ViPNet от своего имени.
Таким образом, для обеспечения соединения любого удаленного узла ViPNet (или любого другого туннелируемого устройства удаленной локальной сети) с открытыми ресурсами, туннелируемыми
Координатором, доступны все вышеописанные схемы подключения, что позволяет использовать все преимущества виртуальной сети ViPNet в распределенных информационных сетях со сложной топологией.
6.М
АРШРУТИЗАЦИЯ ТРАФИКА КООРДИНАТОРОМ С НЕСКОЛЬКИМИ СЕТЕВЫМИ ИНТЕРФЕЙСАМИ
Координатор может иметь произвольное количество физических или виртуальных адаптеров, подключенных к разным подсетям. Со стороны каждого адаптера могут находиться туннелируемые открытые ресурсы, клиенты и другие координаторы. Для соединения с удаленными ресурсами, расположенными за другими координаторами, может использоваться несколько отдельно маршрутизируемых альтернативных каналов связи.
Для того, чтобы координатор успешно обслуживал трафик со стороны всех своих адаптеров, требуется только настроить стандартные для маршрутизаторов маршруты для адресов доступа к удаленным и локальным ресурсам. Для удаленных ресурсов, расположенных за другими координаторами, достаточно настроить маршрут только до адресов доступа к ближайшему координатору.
То есть достаточно иметь шлюз по умолчанию, шлюзы в подсетях интерфейсов для адресов доступа к другим удаленным ViPNet-узлам, шлюзы для доступа в локальные подсети, доступные через подсети интерфейсов. Такой минимум настроек маршрутных таблиц стал возможным в современных версиях
ViPNet. Ранее требовалось производить настройки не только к адресам доступа к соответствующим подсетям, но и к самим подсетям, где располагались защищаемые ресурсы.
7.В
ИРТУАЛЬНЫЕ АДРЕСА СИСТЕМЫ
V
I
PN
ET
Технология ViPNet предоставляет возможность обеспечить взаимодействие между защищаемыми ресурсами, которые имеют частные IP-адреса. При этом не надо заботиться о распределении подсетей частных IP-адресов. На удаленных сторонах могут использоваться одинаковые частные IP-адреса и подсети защищаемых ресурсов.
Для обеспечения такой возможности на каждом узле ViPNet для всех узлов ViPNet, автоматически формируются непересекающиеся виртуальные адреса в соответствии с количеством адресов на удаленном узле. Для каждого туннелируемого адреса или диапазона адресов удаленных координаторов, с которым может взаимодействовать данный узел или его туннелируемые ресурсы, формируются непересекающиеся виртуальные адреса и диапазоны.
Виртуальные адреса для узлов не зависят от собственных адресов узлов и привязаны к уникальным идентификаторам этих узлов, присвоенным им в ЦУСа.
На каждом узле для других узлов и туннелируемых ими устройств формируется свой набор виртуальных адресов.
Драйвер ViPNet при отправке и получении пакетов производит подмену адресов источника и назначения пакетов, тем самым информируя приложения на данном компьютере или туннелируемом ресурсе об адресе, по которому ему надо работать с приложениями на других узлах.
Кроме того, информирование приложения о виртуальном адрес происходит через службы DNS, WINS для любых приложений, протоколы SCCP, SIP, H323 и другие для приложений мультимедиа. Драйвер
ViPNet в теле пакетов этих протоколов также производит подстановку нужных адресов видимости узлов и туннелируемых ресурсов.
В результате таких преобразований приложения на данном узле ViPNet или туннелируемых им устройствах обращаются к соответствующим приложениям на других узлах или туннелируемых ими ресурсах по уникальному на данном компьютере виртуальному адресу, исключающим конфликты.
Узлы ViPNet по умолчанию используют виртуальные адреса при взаимодействии с компьютерами, которые узел ViPNet, определил, как недоступные по прямому адресу узла, то есть находящиеся в других подсетях.
При изменении IP-адреса узла ViPNet (что характерно для мобильных компьютеров и компьютеров с настроенной службой DHCP-client), его виртуальный адрес, единожды зарегистрированный на другом узле, не изменится. Это свойство можно использовать в приложениях для надежной аутентификации узла по его виртуальному адресу.
Для виртуальных адресов на узлах ViPNet нет необходимости задавать какие-либо маршруты. Драйвер
ViPNet выполняет автоматическую маршрутизацию трафика с виртуальными адресами на нужные реальные адреса доступа.
8. З
АКЛЮЧЕНИЕ
Рассмотренные в настоящей статье методы и способы использования технологических решений ViPNet для организации безопасного соединения компьютеров в IP-сетях с непрозрачной адресацией, решают все возникающие на сегодня практические потребности в этой области.
За счет работы протокола динамической маршрутизации VPN-трафика настройки на узлах ViPNet со стороны пользователей и администраторов даже в самых сложных конфигурациях сетей максимально минимизируются или не требуются вовсе.
Вице-президент
ОАО Инфотекс по развитию продукта
Владимир Игнатов,
Тел. (495) 737-61-92,
E-mail: science@infotecs.ru