Файл: Проектирование системы защищённого доступа к локальной сети через интернет на примере МУП "РСП".pdf
Добавлен: 28.03.2023
Просмотров: 203
Скачиваний: 4
СОДЕРЖАНИЕ
1.2. Организация корпоративных сетей на основе VPN: построение, управление, безопасность
1.4 Беспроводные локальные сети
1.5. Характеристика МУП «РСП» и его деятельности
2.1 Разработка общей структуры связи в МУП «РСП»
2.2 Внедрение программного и аппаратного обеспечения в МУП «РСП»
2.3. Контрольный пример реализации каналов связи в МУП «РСП»
2.3.1 Настройка маршрутизатора в Дата-Центре
2.3.2 Настройка маршрутизатора в офисе L47
2.3.3 Настройка маршрутизатора в офисе I2
2.3.4 Настройка маршрутизатора в офисе A15
2.3.5 Натройка маршрутизатора в офисе BUH_RSPВ
Добавляем IP на интерфейс
Рисунок . Добавление IP адреса на интерфейс
Добавляем default route
Рисунок . Добавление default route
Добавляем DNS:
Рисунок . Добавление DNS
Далее нужно объединить порты роутера 2-5 в бридж (например для того чтобы сетевой накопитель видел сервера напрямую внутри маршрутизатора и обратно). В них будем подключать два сервера, сетевой накопитель и аппаратный конфигуратор одного из серверов – HP ILO 4. Адреса устройствам выдаем согласно таблице:
Таблица
Локальные ресурсы с Ip Адресами
Наименование устройства |
Ip Адрес |
---|---|
Сервер hp gen9 |
192.168.0.11 |
Сервер hp ml360 |
192.168.0.12 |
Сетевой накопитель NAS 102 |
192.168.1.201 |
Hp ILO 4 для ml 360 |
192.168.0.99 |
Рисунок . Объединение физических портов устройства
Далее вешаем на внутренние интерфейсы адреса 192.168.0.1/24 и 192.168.1.1/24 и объединяем их в бридж.
Рисунок . Локальные адресные пространства
В сети 192.168.0.1/24 будут располагаться сервера, а в адресном пространстве 192.168.1.1/24 сетевой накопитель.
Теперь перейдем к настройке самого PPTP сервера. Для этого сначала необходимо создать профиль в которым будут указаны атрибуты будущего сервера (например вид шифрования тоннеля). Создадим профиль PPP muprsp-ppp-profile. Тип шифрования в нем будет MPPE128 stateless.
Рисунок . Профиль с настройками сервера по РРТР
Далее нужно завести рабочие учетные записи с выше созданным профилем для маршрутизаторов в офисах. Здесь буду указаны логины и пароли, а также прописан маршрут до удаленной сети маршрутизатора офиса, чтобы конечные хосты видели серверное адресное пространство. На роутерах в офисах необходимо будет прописать два маршрута до сетей 192.168.0.1/24 и 192.168.1.1/24, соответственно. Пример настройки роутеров в офисах будет описан отдельно ниже. Приведем пример настройки профиля одного из офисов (Пример: офис – L47 все остальные аналогично).
Рисунок . Профиль с настройками для клиента L47 по PPTP
На Рисунке 18 видно, что у офиса L47 внутренней сетью выступает адресное пространство 192.168.55.0/24, а удаленный адрес подключения до микротика 192.168.88.101 в тоннеле. Адрес 192.168.88.101 является широковещательным для всех хостов внутри сети 192.168.55.0/24
Далее настраиваем остальные учетные записи аналогично. Офиса 4 – им соотвествуют учетные записи A15, I2, L47, BUH_rsp, учетная запись inzh1 – служебная ( для подключения к маршрутизатору из вне).
Как было написано выше у каждого офиса своя подсеть класса С и профилях необходимо не забывать указывать маршрут через адрес удаленного подключения, до внутренней сети офиса согласно таблице маршрутизации:
Таблица
Маршрутизация
Учетная запись |
Роутер в офисе |
Адрес на микротике(тоннель) |
A15 |
192.168.14.1 |
192.168.88.105 |
I2 |
192.168.56.1 |
192.168.88.102 |
L47 |
192.168.55.1 |
192.168.88.101 |
Buh_rsp |
192.168.50.1 |
192.168.88.114 |
Рисунок . Список подключенных офисов (пользователей)
Первоначальная настройка и настройка VPN сервера на роутере в дата центре закончены, далее нужно будет настроить маршрутизаторы в офисах.
2.3.2 Настройка маршрутизатора в офисе L47
В Офисе L47 используется маршрутизатор keenetic giga 3 версия прошивки 2.15.C.3.0-2. Имеет 4 ethernet-lan порта и один wan-порт для подключения интернет. Для подключения большего числа хостов используется неуправляемый коммутатор tp-link TL-SG1016D и патч-панель BRAND - REX 110 Style 24xRJ45
Заходим на веб - интерфейс устройства и сразу меняем домашнюю сеть на адрес 192.168.55.1, согласно таблице маршрутизации.
Рисунок . Домашняя сеть роутера L47
Выход в интернет предоставляется по статистическому ип адпесу и производится вручную. Необходимо ввести следующие параметры :ип адрес, маска подсети, шлюз и dns.
Рисунок . Настройка подключения к Интернет
После успешного подключения к интернету нужно пробросить vpn тоннель до дата центра с микротиком, в настройках указываем ip adreass дата центра, а также логин\пароль заранее подготовленной соответствующей учетной записи на микротике. Не забываем про галочку шифрование.
Рисунок . Настройка подключения до Дата-центра
После успешного подключения нужно будет прописать маршруты до внутренних локальных сетей дата центра, в нашем случае их два - до 192.168.0.0 и 192.168.1.0 (сервера и файловое хранилище соответственно). Поле адрес шлюза выставляем согласно таблице маршрутизации. Интерфейс подключения указываем наше vpn подключение до датацентра.
Рисунок . Параметры статистического маршрута до сети 192.168.1.0
Рисунок . Параметры статистического маршрута до сети 192.168.0.0
Теперь офис L_47 обладает полным доступом к локальным ресурсам организации через интернет, а именно:
доступ в к серверу hpgen9 с 1с по rdp сессии локально
доступ к серверу hpml360 программа домовладелец
доступ к файловому хранилищу компании nas 102
2.3.3 Настройка маршрутизатора в офисе I2
В Офисе I2 используется маршрутизатор keenetic giga 3 версия прошивки
v2.07(AAUW.5)C3. Имеет 4 ethernet-lan порта и один wan-порт для подключения интернет. Для подключения большего числа хостов используется неуправляемый коммутатор tp-link TL-SG1016D и патч-панель BRAND - REX 110 Style 24xRJ45
Заходим на веб - интерфейс устройства и сразу меняем домашнюю сеть на адрес 192.168.56.1, согласно таблице маршрутизации.
Рисунок . Домашняя сеть роутера
Выход в интернет осуществляется с помощью технологи IPoE. Никакие настройки не требуются. Достаточно подключить роутер к интернету и открыть браузер с любого устройства. После успешного ввода пары логин/пароль в браузере устройства – интернет появится автоматически.
Рисунок . Настройка подключения к Интернет
После успешного подключения к интернету нужно пробросить vpn тоннель до дата центра с микротиком, в настройках указываем ip adreass дата центра, а также логин\пароль заранее подготовленной соответствующей учетной записи на микротике. Не забываем про галочку шифрование.
Рисунок . Настройка подключения до Дата-центра
После успешного подключения нужно будет прописать маршруты до внутренних локальных сетей дата центра, в нашем случае их два - до 192.168.0.0 и 192.168.1.0 (сервера и файловое хранилище соответственно). Поле адрес шлюза выставляем согласно таблице маршрутизации. Интерфейс подключения указываем наше vpn подключение до датацентра.
Рисунок . Параметры статистического маршрута до сети 192.168.0.0
Рисунок . Параметры статистического маршрута до сети 192.168.1.0
Теперь офис I2 обладает полным доступом к локальным ресурсам организации через интернет, а именно:
- доступ в к серверу hp gen9 с 1с по rdp сесси локально;
- доступ к серверу hp ml 360 программа домовладелец;
- доступ к файловому хранилищу компании nas 102.
2.3.4 Настройка маршрутизатора в офисе A15
В Офисе A15 используется маршрутизатор keenetic extra 2 версия прошивки v2.07(ABGH.4)C2. Имеет 4 ethernet-lan порта и один wan-порт для подключения интернет. Для подключения большего числа хостов используется неуправляемый коммутатор tp-link TL-SG1016D и патч-панель BRAND - REX 110 Style 24xRJ45
Заходим на веб - интерфейс устройства и сразу меняем домашнюю сеть на адрес 192.168.14.1, согласно таблице маршрутизации.
Рисунок . Домашняя сеть роутера
Выход в интернет предоставляется по статистическому ип адпесу и производится вручную. Необходимо ввести следующие параметры :ип адрес, маска подсети, шлюз и dns, а также MAC-adress.
Рисунок . Настройка подключения к Интернет
После успешного подключения к интернету нужно пробросить vpn тоннель до дата центра с микротиком, в настройках указываем ip adreass дата центра, а также логин\пароль заранее подготовленной соответствующей учетной записи на микротике. Не забываем про галочку шифрование.
Рисунок . Настройка подключения до Дата-центра
После успешного подключения нужно будет прописать маршруты до внутренних локальных сетей дата центра, в нашем случае их два - до 192.168.0.0 и 192.168.1.0 (сервера и файловое хранилище соответственно). Поле адрес шлюза выставляем согласно таблице маршрутизации. Интерфейс подключения указываем наше vpn подключение до датацентра.
Рисунок . Параметры статистического маршрута до сети 192.168.0.0
Рисунок . Параметры статистического маршрута до сети 192.168.1.0
Теперь офис A15 обладает полным доступом к локальным ресурсам организации через интернет, а именно:
- доступ в к серверу hp gen9 с 1с по rdp сесси локально;
- доступ к серверу hp ml 360 программа домовладелец;
- доступ к файловому хранилищу компании nas 102.
2.3.5 Натройка маршрутизатора в офисе BUH_RSPВ
Офисе BUH_RSP используется маршрутизатор keenetic omni 2 версия прошивки 2.15.C.3.0-2. Имеет 4 ethernet-lan порта и один wan-порт для подключения интернет. Для подключения большего числа хостов используется неуправляемый коммутатор tp-link TL-SG1016D и патч-панель BRAND - REX 110 Style 24xRJ45.
Заходим на веб - интерфейс устройства и сразу меняем домашнюю сеть на адрес 192.168.50.1, согласно таблице маршрутизации.
Рисунок . Домашняя сеть роутера
Выход в интернет предоставляется по статистическому ип адпесу и производится вручную. Необходимо ввести следующие параметры :ип адрес, маска подсети, шлюз и dns
Рисунок . Настройка подключения к Интернет
После успешного подключения к интернету нужно пробросить vpn тоннель до дата центра с микротиком, в настройках указываем ip adreass дата центра, а также логин\пароль заранее подготовленной соответствующей учетной записи на микротике. Не забываем про галочку шифрование.
Рисунок . Настройка подключения до Дата-центра
После успешного подключения нужно будет прописать маршруты до внутренних локальных сетей дата центра, в нашем случае их два - до 192.168.0.0 и 192.168.1.0 (сервера и файловое хранилище соответственно). Поле адрес шлюза выставляем согласно таблице маршрутизации. Интерфейс подключения указываем наше vpn подключение до датацентра.
Рисунок . Параметры статистического маршрута до сети 192.168.1.0
Рисунок . Параметры статистического маршрута до сети 192.168.0.0
Теперь офис BUH_RSP обладает полным доступом к локальным ресурсам организации через интернет, а именно:
- доступ в к серверу hpgen9 с 1с по rdp сессии локально;
- доступ к серверу hpml360 программа домовладелец;
- доступ к файловому хранилищу компании nas 102.
2.3.6 Подключение отдельного удаленного пользователя
Подключение удаленного пользователя.
Ранее мы рассматривали подключение офисов к локальным ресурсам в датацентре. Теперь рассмотрим подключение единичного удаленного пользователя через интернет.
Создадим учетную запись на микротике аналогично учетным данным офисов.