Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
ДОМОЙПОДПИСКАГДЕ КУПИТЬСТАТЬИRambler's Top100   
 
 
 
    
ЖУРНАЛ
   
Главная
Архив новостей
Новый номер
Архив статей
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты

РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Тематический план
Отдел рекламы

E-MAIL


Rambler's Top100

  

Многопротокольный удаленный доступ через Интернет

Майк Фратто

Перед сетевыми администраторами в последнее время все острее встает проблема обеспечения мобильных и удаленных пользователей полноценным доступом к корпоративной сети. Решение таких вопросов, как определение размера модемного пула, территориального расположения коммутационного оборудования и типов удаленного доступа, предоставляемых пользователям, отличается особой сложностью.

Если ваша фирма уже "ступила на стезю" внедрения технологий Интернет, то у нее появляется возможность стать полноценным участником глобальной сети, предоставляя массу услуг внешним клиентам и удобство работы своим служащим. В результате клиенты, подключающиеся к Сети через поставщиков услуг Интернет (Internet Services Provider — ISP), смогут обращаться к корпоративным информационным ресурсам из любой точки земного шара.

Несмотря на то что этот вид доступа позволяет пользователям работать почти отовсюду, он не всегда гарантирует возможности работы с сервисами, требующими применения IPX/SPX, NetBEUI и других сетевых протоколов. До недавнего времени многопротокольный удаленный доступ требовал использования протокола PPP (Point-to-Point Protocol).

Самостоятельное развертывание большого модемного пула с сервером удаленного доступа и дальнейшее управление ими потребует от вас много денег, времени и других ресурсов. Чтобы избежать таких затрат, поддержку большей части сервиса удаленного доступа можно поручить специализирующимся на этом компаниям. В результате удаленные пользователи получат доступ к вашей сети через любого поставщика услуг Интернет, используя для этого технологию так называемой виртуальной коммутируемой частной сети (Virtual Dial-up Private Network — VDPN). Данная статья как раз посвящена детальному рассмотрению этой технологии удаленного доступа и ее преимуществ для корпоративного пользователя.

Ваш Частный туннель

Технология VDPN позволяет пользователям устанавливать соединение удаленного узла с корпоративной сетью через любую территориальную сеть или Интернет. При этом подразумевается, что протокол PPP будет задействован не только между клиентом и сервером удаленного доступа, но и вплоть до корпоративного шлюза. Таким образом, завершение сеанса PPP и все функции сервера удаленного доступа, в том числе аутентификация пользователя и согласование протоколов, переходят в ведение корпоративного шлюза.

Для этого чаще всего применяются два протокола: PPTP (Point-to-Point Tunneling Protocol) и L2F (Layer 2 Forwarding). Протокол PPTP — это проект инженерной проблемной группы Интернет (Internet Engineering Task Force — IETF), принадлежащий нескольким компаниям, в число которых входят Ascend Communications, ECI/Telematics, Microsoft, 3Com и U.S. Robotics. Протокол L2F компании Cisco Systems также является проектом IETF. Оба протокола предоставляют одинаковые базисные услуги, но реализуют их по-разному.

Хочется предостеречь тех, кто собирается воспользоваться какой-либо сетью общего пользования, например Интернет, в качестве транспорта для своих туннелей VDPN: вам следует принять меры обеспечения безопасности на уровне протоколов PPP и IP. Увы, ни один из протоколов для организации туннелей пока не имеет встроенной технологии шифрования.

Для создания многопротокольных туннелей через территориальную сеть технологией VDPN предусматривается использование двух серверов (рис. 1). Коротко процедуру создания туннеля можно описать следующим образом. Пользователь набирает номер поставщика услуг Интернет (или корпоративного пула модемов) и устанавливает PPP-сеанс с сервером доступа к корпоративной сети NAS (Network Access Server), который отвечает за обработку поступающих от пользователей вызовов и образует один конец VDPN-туннеля. Именно он сообщает корпоративному шлюзу, являющемуся другим концом VDPN-туннеля, о поступлении запроса на VDPN-сеанс. Затем сервер NAS высылает имя и пароль подключившегося пользователя. Если последний зарегистрирован, то сервер NAS и корпоративный шлюз создают туннель и присваивают идентификатор текущему сеансу связи.

Вслед за аутентификацией пользователя и организацией туннеля клиент и корпоративный шлюз выполняют согласование сеанса PPP путем установления типов протоколов и присвоения клиенту сетевого адреса. В этой модели сам процесс построения туннеля остается "прозрачным" для пользователя.

Соединения VDPN, выполненные с рабочей станции Windows NT, являются более гибкими, поскольку создаются непосредственно с клиентской машины (рис. 2). В нашей лаборатории мы организовали VDPN-туннель путем двух последовательных подключений к серверу удаленного доступа LANRover фирмы Shiva: по протоколу PPP — для передачи корпоративному шлюзу аутентификационной информации и по протоколу PPTP — для создания самого туннеля. При втором подключении (вызове службы удаленного доступа) вместо телефонного номера используется непосредственный IP-адрес корпоративного шлюза. Таким образом, клиентская машина уже сама выполняет функцию начала VDPN-туннеля.

Поскольку аутентификация происходит на корпоративном шлюзе, то нет необходимости поддерживать базу данных внешних пользователей на сервере NAS.

Любые специальные расширения, которые можно было бы применять с протоколом PPP, в частности шифрование или авторизация на основе аппаратных или программных генераторов ключей (tokens), могут быть осуществлены без модификаций, так как канал внутри VDPN-туннеля полностью находится в вашем распоряжении. Технология VDPN позволяет вам выделить в качестве отдельных компонентов ваш пул модемов или точку подключения к глобальной сети POP (Point Of Presence) у поставщика услуг Интернет и корпоративный шлюз, что ведет к четкому разделению управления коммутируемыми линиями и доступом пользователей к вашей сети. Для создания виртуального канала коммутирующему узлу не нужно "знать" ничего, кроме имен корпоративного шлюза и пользователя (для выписки счета). На корпоративный шлюз при этом ложится ответственность аутентификации пользователя независимо от способа его подключения. В результате вы можете разместить ваше коммутационное оборудование и корпоративный шлюз так, как будет наиболее удобно для вашей организации.

Туннелирование без швов

Из вышесказанного ясно, что существуют два способа образования туннеля по протоколу PPTP: между сервером NAS и корпоративным шлюзом или между клиентом и корпоративным шлюзом, если на клиентской машине установлен драйвер PPTP.

Для образования PPTP-туннеля сервер NAS должен установить два TCP-канала через Интернет: первый — для управления туннелем (включая запросы на подключение и отключение, определение последовательности пакетов и управление потоками); второй — для самой передачи инкапсулированных PPP-пакетов по протоколу GRE 2 (Generic Routing Encapsulation).

Когда сервер NAS обнаруживает вызов на одном из портов удаленного доступа (модема или интерфейса ISDN), он пытается установить связь с корпоративным шлюзом, с которым ассоциирован данный порт. Сервер NAS не будет отвечать на вызов до тех пор, пока корпоративный шлюз не подтвердит свою готовность принимать вызовы.

Как только корпоративный шлюз показывает, что он готов к подключению, сервер NAS отвечает на вызов. Если туннель к корпоративному шлюзу уже создан, то сервер NAS присваивает пользователю идентификатор туннеля и начинает передавать PPP-пакеты корпоративному шлюзу. На этом этапе сервер NAS инкапсулирует все PPP-пакеты в соответствии с протоколом GRE 2 и передает их корпоративному шлюзу. Последний снимает инкапсуляцию пакетов GRE 2 и обрабатывает заключенные в них PPP-пакеты обычным способом.

Как правило, формирование таблиц маршрутизации на сервере NAS заключается в связывании адресов корпоративных шлюзов с номерами портов удаленного доступа. Чтобы организовать виртуальный канал, серверу NAS ничего не требуется, кроме этой информации. Сформировать же PPTP-туннели с сервера или рабочей станции Windows NT ненамного сложнее, чем создать канал удаленного доступа. Просто теперь вместо номера телефона надо ввести IP-адрес своего корпоративного шлюза.

Безопасность здесь обеспечивается благодаря наличию базы данных аутентификационной информации, например на сервере Windows NT. Начальную аутентификацию можно осуществлять стандартными методами протокола PPP, такими, как аутентификация по паролю (Password Authentication Protocol — PAP) или квитирование вызова (Challenge Handshake Authentication Protocol — CHAP), с привлечением алгоритма цифровой подписи RSA RC4 и стандарта шифрования DES (Data Encryption Standard). Шифрование также может быть обеспечено по алгоритму RC4 с помощью 40-битовых ключей в ОС Windows NT 4.0 (для США и Канады допустимо использование 128-битовых ключей). Кроме того, корпоративный шлюз можно сконфигурировать таким образом, что он будет отвергать любые IP-подключения, кроме PPTP. Это свойство известно как PPTP-фильтрация.

Если у вас уже установлена ОС Windows NT 4.0 или вы собираетесь переходить на нее, то сеть VDPN можно организовать и без использования корпоративного шлюза. Подготовка виртуальных каналов в этом случае будет состоять в инсталляции PPTP-сервиса и конфигурировании туннелей в службе удаленного доступа (RAS) ОС Windows NT. Некоторые поставщики добавляют к сервису PPTP полезные расширения, такие, как Multilink PPP. Поскольку протокол PPTP является технологической новинкой, в ближайшее время вполне вероятно появление новых особенностей в описанной нами реализации виртуальных коммутируемых сетей.

Некоторые продукты, например модемное шасси Enterprise Network Hub фирмы U.S. Robotics, способны расширить возможности службы дистанционной аутентификации для пользователей коммутируемых каналов RADIUS (Remote Authentication Dial-In User Service) вплоть до определения необходимости создания PPTP-туннеля. Такой подход предполагает большее удобство в управлении туннелями.

...Своим путем

Протоколом L2F предоставляются услуги, аналогичные рассмотренным выше, но эта технология является более гибкой в отношении способа реализации туннелей. Ее гибкость заключается в отсутствии каких-либо ограничений на базисный транспортный уровень передачи PPP-пакетов. Вместо этого определяется общий протокол инкапсулирования пакетов с дальнейшей передачей уже PPP-кадров на канальном уровне (Layer 2). Такой подход позволяет осуществлять туннелирование в сетях, базирующихся на протоколах, отличных от IP.

В соответствии с L2F процедура согласования при вызове начинается с установления PPP-канала. Сервер NAS принимает имя пользователя и определяет, следует ли для данного вызова формировать туннель VDPN. Если вызов требует создания туннеля, то сервер NAS соединяется с корпоративным шлюзом и передает ему PPP-кадры для согласования параметров сеанса связи, в противном случае вызов воспринимается как обычное подключение к поставщику услуг Интернет. Создание канала VDPN определяется именем пользователя и адресом корпоративного шлюза. Такая схема способствует более эффективной эксплуатации вашего коммутационного оборудования: один и тот же пул модемов можно применять для разных типов подключения.

При использовании туннеля L2F конфигурирование как сервера NAS, так и корпоративного шлюза происходит аналогично инсталляции нескольких интерфейсов в маршрутизаторе. Задействовав маршрутизатор Cisco 4700 в качестве корпоративного шлюза и сервер удаленного доступа Cisco AS 5200 — в качестве сервера NAS, мы с целью эксперимента создали виртуальный канал L2F, который ничем не отличался от остальных. В наших испытаниях пул адресов хранился на маршрутизаторе Cisco 4700, однако при необходимости можно было бы воспользоваться и системой Terminal Access Control Access System+ (TACAS+).

Слияние протоколов

Протокол L2TP является новым проектом IETF, появившимся в результате совместных усилий компаний Ascend, Cisco, Microsoft и 3Com с целью объединить все лучшее, что есть в PPTP и L2F. Однако L2TP пока пребывает на стадии проектирования, и в ближайшее время ожидается его расширенное тестирование на совместимость. Окончательное принятие стандарта намечено на осень текущего года, после чего можно ожидать и появления первых программных продуктов.

Протокол L2TP предусматривает динамическое построение туннелей на основе информации, заложенной в PPP-пакетах управления каналом (Link Control Protocol — LCP), например такой, как имя пользователя. При наличии сервера RADIUS для формирования VDPN-туннелей можно использовать любое число параметров. В то же время протокол L2TP не обременен ограничением, которое накладывается стандартом PPTP на сетевой уровень (использование только IP), и позволяет работать с любым протоколом сетевого уровня, будь то IP, X.25 или Frame Relay. В L2TP встроен также механизм управления потоком между сервером NAS и корпоративным шлюзом, что способствует снижению трафика в сети и облегчает борьбу с сетевыми перегрузками.

Дорога к дому

Технология VDPN весьма привлекательна для крупных корпораций, которым выгоднее передать обеспечение доступа по коммутируемым линиям третьим фирмам, но при этом соблюсти все меры информационной безопасности. Настройка туннелей VDPN аналогична настройке портов удаленного доступа, только здесь отпадает необходимость конфигурировать модемные пулы. При использовании маршрутизатора Cisco 4700 корпоративный шлюз будет конфигурироваться точно так же, как и любой другой интерфейс маршрутизатора. Для тех, кто знаком с операционной системой IOS (Internetwork Operating System) фирмы Cisco, сконфигурировать корпоративный шлюз или сервер NAS не составит никакого труда.

Скорее всего, фирма, специализирующаяся на поддержке сети VDPN, в качестве оборудования на стороне заказчика будет поддерживать как сервер NAS, так и корпоративный шлюз. Вам же останется лишь управлять пользовательским доступом.

Разумеется, при этом вы уступаете часть контроля над вашей системой удаленного доступа. Так, если ваш поставщик вдруг окажется неспособным обеспечить должный уровень сервиса (например, наберет заказчиков больше, чем позволяет полоса пропускания его канала), то может пострадать и качество обслуживания ваших корпоративных клиентов. Для принятия окончательного решения — подходит ли вам эта технология — необходимо проанализировать, насколько дешевле обойдется подряд внешних исполнителей, чем содержание собственной полноценной службы удаленного доступа





  
9 '1997
СОДЕРЖАНИЕ

колонка редактора

• Российский сетевой ландшафт в двух измерениях

локальные сети

• Двухпроцессорные серверы на базе Pentium Pro

• Восемь сетевых цветных принтеров

• Философия успешного производства (интервью Зоара Зисапеля)

корпоративные сети

• Многопротокольный удаленный доступ через Интернет

• Модернизация сети с помощью АТМ (часть I)

• Следите за маршрутизаторами!

• Передовые технологии: Layer 3 Switching (часть II)

• Ярмарка компьютерных чудес в Новом Орлеане

услуги сетей связи

• Развитие российской сети ОКС №7 - основа современных услуг связи

• Анатомия модемных "56К-технологий" (часть II)

• Конференц-связь: проблемы и решения

интернет и интрасети

• Сезам, откройся!

• Проектирование отказоустойчивых корпоративных сетей TCP/IP

• Анализ журнала регистраций узла Web, или Поиск рецепта успеха

защита данных

• Игра ва-банк с сетевыми "медвежатниками"

новые продукты

• О суеверии, коммутаторе Catalyst 5500 и лаборатории PLUS Communications, Недорогой сервер Digital в России

только на сервере

• Интернет в вопросах и ответах. Продолжение



 Copyright © 1997-2002 ООО "Сети и Системы Связи". Тел. (095) 234-53-21. Факс (095) 974-7110. вверх