Microsoft

IT-решения компании TechExpert > IT-решения > Инфраструктурные решения > Объединение филиалов > Microsoft

Microsoft

Виртуальные частные сети на основе Интернета

VPN-подключения на основе Интернета позволяют избежать затрат на междугородные телефонные звонки благодаря повсеместной доступности Интернета.

Удаленный доступ через Интернет

Вместо междугородного звонка на сервер удаленного доступа клиент удаленного доступа может подключиться по телефону к локальному поставщику услуг Интернета. С использованием установленного физического соединения с локальным поставщиком услуг Интернета клиент удаленного доступа инициирует VPN-подключение через Интернет к VPN-серверу организации. После создания VPN-подключения клиент удаленного доступа получает доступ к ресурсам частной интрасети.

На рисунке показано удаленное подключение через Интернет.

Рисунок

Соединение сетей через Интернет

Если сети соединены через Интернет, маршрутизаторы перенаправляют пакеты другим маршрутизаторам через VPN-подключение. Это называется VPN-подключением между маршрутизаторами. С точки зрения маршрутизаторов виртуальное частное подключение работает на канальном уровне.

На рисунке показано соединение сетей через Интернет.

Рисунок

Использование выделенных линий в глобальных сетях

Вместо использования дорогих выделенных линий удаленной связи между дочерними подразделениями маршрутизаторы, установленные в этих подразделениях, могут быть подключены к локальному поставщику услуг Интернета через локальную выделенную линию. VPN-подключение между маршрутизаторами выполняется через Интернет. После подключения маршрутизаторы могут отправлять пакеты друг другу при помощи VPN.

Использование коммутируемых линий в глобальных сетях

Вместо междугородного звонка на сервер удаленного доступа маршрутизатор, находящийся в дочернем подразделении, можно подключить по телефону к локальному поставщику услуг Интернета. Используя установленное физическое соединение с локальным поставщиком услуг Интернета, маршрутизаторы основного и дочернего подразделения связываются между собой с помощью VPN-подключения через Интернет. Корпоративный маршрутизатор работает в качестве сервера VPN и должен быть подключен к локальному поставщику услуг Интернета через выделенную линию.

Возможно также подключение к Интернету обоих маршрутизаторов через коммутируемые линии. Однако это осуществимо только в том случае, если поставщик услуг Интернета поддерживает вызов клиентов по требованию — при получении IP-датаграммы, предназначенной для клиента, поставщик услуг Интернета вызывает маршрутизатор этого клиента. Вызов клиентов по требованию далеко не всегда поддерживается поставщиками услуг Интернета.

Примечание

В Windows Server 2003 Web Edition и Windows Server 2003 Standard Edition допускается создание до 1 000 портов PPTP и до 1 000 портов L2TP. Однако Windows Server 2003 Web Edition может единовременно принять только одно подключение к виртуальной частной сети. Windows Server 2003 Standard Edition может принять до 1 000 подключений VPN одновременно. После подключения 1 000 клиентов VPN дальнейшие запросы на подключение отклоняются до тех пор, пока число подключений не станет менее 1 000

Новые возможности виртуальных частных сетей

Семейство операционных систем Microsoft® Windows® Server 2003 предоставляет следующие новые возможности виртуальных частных сетей.

Преобразование сетевых адресов (NAT)

VPN-серверы, работающие под управлением Windows Server 2003, поддерживают передачу данных по протоколу L2TP/IPSec (Layer Two Tunneling Protocol over Internet Protocol security), которые поступают от VPN-клиентов, находящихся за NAT. Чтобы данное средство правильно работало, компьютером клиента должны поддерживаться следующие проекты Интернет-стандартов рабочей группы по IPSec:

• соглашения по пересечению NAT в IKE (draft-ietf-ipsec-nat-t-ike-02.txt);
• UDP-инкапсуляция пакетов IPsec (draft-ietf-ipsec-udp-encaps-02.txt).

Важно!

Развертывание IPSec NAT-T для Windows, включающее серверы VPN, находящиеся после преобразователей сетевых адресов, не рекомендуется. Когда сервер находится после преобразователя сетевых адресов и использует IPSec NAT-T, может иметь место непредусмотренное поведение, связанное со способом преобразования сетевого трафика.

• Развертывание VPN со службой балансировки нагрузки сети

VPN-серверы под управлением Windows Server 2003 поддерживают развертывание VPN совместно с балансировкой нагрузки сети для создания VPN-решений высокой доступности. Включена поддержка для протокола PPTP (Point-to-Point Tunneling Protocol) и решений L2TP/IPSec VPN с балансировкой сетевой нагрузки.

• Прокси для определения адресов по именам в NetBIOS поверх TCP/IP (NetBT)

Определение имени при подключении VPN-клиента к VPN-серверу производят DNS- или WINS- серверы в конечной сети.

DNS- или WINS- серверы широко используются организациями, в которых применяют DNS для определения имени узла или WINS для определения имени NetBIOS. Однако в малом или домашнем офисе этих серверов может не быть. В этом случае для установления связи необходимо определить имена компьютеров, к которым производится подключение, другими способами.

Имена NetBIOS могут быть определены без использования серверов WINS или DNS VPN-сервером, работающим под управлением Windows Server 2003, т. к. операционная система Windows Server 2003 включает в себя NetBT-прокси. С помощью NetBT подключенные VPN-клиенты и узлы сегментов сети, к которым присоединен VPN-сервер, могут определить имена NetBIOS.

1. Когда VPN-клиенту требуется определить IP-адрес по имени при отсутствии настроенных серверов DNS и WINS, он посылает пакет с запросом имени NetBIOS VPN-серверу. Когда узлу в сегменте сети, присоединенному к VPN-серверу, необходимо определить IP-адрес по имени при отсутствии настроенных серверов DNS и WINS, он посылает посылает широковещательный запрос имени NetBIOS сегменту сети.

2. VPN-сервер получает пакет с запросом имени NetBIOS, просматривает локальный кэш или определяет имя NetBIOS, и, если имя не найдено, отправляет широковещательный NetBIOS запрос имени NetBIOS на все подключенные интерфейсы, кроме логического интерфейса, подключенного ко всем VPN-клиентам.

3. Узел, зарегистрировавший NetBIOS-имя, посылает положительный ответ на запрос имени NetBIOS VPN-серверу.

4. Получив положительный ответ на запрос имени NetBIOS, VPN-сервер отправляет его на интерфейс, с которого пришел пакет с запросом имени NetBIOS, узлу, приславшему запрос.

Таким образом, все узлы сегмента сети, подключенного к VPN-серверу, а также все подключенные VPN-клиенты могут автоматически определять имена других клиентов и узлов без использования DND- или WINS-серверов.

• Настройка предварительного ключа для подключений по протоколу L2TP

Операционные системы семейства Windows Server 2003 поддерживают в качестве средств установления сопоставлений безопасности IPSec для подключений по протоколу L2TP сертификаты и предварительные ключи. Предварительный ключ — это текстовая строка, настроенная на VPN-клиенте и на VPN-сервере. Предварительный ключ является достаточно ненадежным методом проверки подлинности; рекомендуется использовать проверку подлинности с помощью предварительного ключа только во время развертывания инфраструктуры открытого ключа для получения сертификатов или тогда, когда предварительный ключ необходим VPN-клиентам. Чтобы разрешить применение предварительного ключа для подключений по протоколу L2TP и указать предварительный ключ, используйте вкладку Безопасность на сервере, использующем службу «Маршрутизация и удаленный доступ».

Процедура проверки подлинности с использованием предварительного ключа поддерживается VPN-клиентами удаленного доступа, работающими под управлением Windows XP. Чтобы разрешить проверку подлинности с использованием предварительного ключа и настроить предварительный ключ, используйте диалоговое окно Параметры IPSec на вкладке Безопасность свойств подключения VPN в компоненте «Сетевые подключения».

Проверка подлинности с использованием предварительного ключа поддерживается также для VPN-подключений типа «сайт-сайт» между компьютерами, работающими под управлением операционной системы Windows Server 2003. Чтобы разрешить проверку подлинности с использованием предварительного ключа и настроить предварительный ключ для интерфейсов вызова по требованию, используйте диалоговое окно Параметры IPSec на вкладке Безопасность свойств интерфейса вызова по требованию службы «Маршрутизация и удаленный доступ.

В Windows 2000 появились следующие новые возможности виртуальных частных сетей.

• L2TP Операционные системы семейства Windows Server 2003 в дополнение к протоколу PPTP включают в себя и протокол L2TP, используемый совместно с IPSec для создания защищенных подключений VPN. Комбинацию L2TP и IPSec называют «L2TP/IPSec».

• Политики удаленного доступа — это набор условий и параметров подключения, дающих сетевым администраторам большую гибкость в предоставлении разрешений на удаленный доступ в систему и задании ограничений подключения. С помощью политик удаленного доступа можно включить использование надежных способов проверки подлинности и шифрования для пользователей виртуальной частной сети, а также задать различные наборы ограничений на проверку подлинности и шифрование для удаленных пользователей.

• Протокол MS-CHAP версии 2 Протокол проверки подлинности Microsoft Challenge Handshake Authentication Protocol (MS-CHAP) версии 2 значительно усиливает безопасность передачи учетных данных и генерации ключей шифрования во время установления удаленного подключения. Протокол MS-CHAP версии 2 был специально разработан для обеспечения безопасности виртуальных частных сетей.

• Протокол расширенной проверки подлинности (EAP) позволяет использовать новые методы проверки подлинности, что особенно важно для обеспечения безопасности с использованием смарт-карт. Архитектура EAP позволяет подключать модули проверки подлинности к PPP в Windows 2000, Windows XP и операционных системах семейства Windows Server 2003. Поддерживаются протоколы EAP-MD5 CHAP и EAP-TLS (протокол используется для проверки подлинности с использованием смарт-карт и сертификатов). Для проверки подлинности может использоваться сервер VPN, запросы проверки подлинности можно также перенаправлять серверам RADIUS.

• Блокировка учетной записи удаленного доступа — это свойство системы безопасности, позволяющее запретить пользователю доступ к ресурсам после определенного числа неудачных попыток пройти проверку подлинности. Блокировка учетной записи удаленного доступа разработана для того, чтобы исключить возможность несанкционированного доступа к ресурсам путем подбора пароля. Несанкционированный доступ путем перебора паролей подразумевает попытку входа в систему с использованием известного имени пользователя и списка общеупотребительных слов в качестве пароля. По умолчанию блокировка учетной записи удаленного доступа отключена.

Запрос менеджеру

Пожалуйста, заполните эту форму. Поля, отмеченные звёздочками*, обязательны для заполнения.
Произошла ошибка, попробуйте обновить страницу или отправте запрос позднее.
Контактная информация
Название организации*:
Фамилия*:
Имя*:
Отчество*:
Код города и телефон*:
Электронная почта*:

Ваш запрос:

Мероприятия

27 октября приглашаем посетить бесплатный семинар "Сценарии виртуализации инфраструктуры на базе продуктов Microsoft"

Приглашаем посетить вебинар "Управляем ИТ-процессами вместе с Naumen Service Desk v 3.6"

Семинар «OracleBusinessIntelligence (BI). Создание и публикация корпоративных отчетов и витрин».

Приглашаем посетить Road Show «McAfee на страже безопасности»

Приглашаем посетить бесплатный семинар «Разработка корпоративных Web приложений с использованием Oracle JDeveloper 11 и Oracle Weblogic»

‭(скрыто)‬ Analytics