Routing и конверсия на трафика към виртуални частни мрежи
Владимир Игнатов, заместник-председател на ОАО "Infotecs" Развитие на продукта
виртуална частна мрежа технология (VPN), работещ на мрежово ниво, за да се гарантира, криптиране на трафик между отделните компютри и мрежи, както и интегрирана с лична и защитни стени дават възможност за най-високо ниво на безопасност на компютрите в мрежата. Това се дължи на способността за реализиране на най-високо ниво на контрол върху движението, независимо от местоположението и характера на продължаващите атаки, които не могат да бъдат постигнати само чрез криптиране на определени видове трафик или използвайте само защитни стени и системи за откриване на проникване, инсталирани на границите на мрежата.
Виртуалната мрежа се изгражда чрез инсталиране на компютри (мрежови възли) на двата основни вида софтуер: на клиента и на координатора.
Клиентът е инсталиран на работни станции и сървъри, и гарантира включването им в мрежата VPN и лична защита.
Компютърна координатор обикновено се инсталира на границата на локална мрежа или сегмент от него. Координаторът гарантира включването на открито VPN компютри и NAT функционалност за защитените компютри в локалната мрежа или сегмент от него, разделянето и защита на мрежи като цяло от мрежови атаки, както и клиентите на тревога и други координатори за състоянието и начина на достъп до една от друга.
Тази статия разглежда някои от принципите на маршрутизиране на трафика и конверсия, като се гарантира възможността за безопасно взаимодействат с компютрите всички начини, те се свързват с мрежата.
Технологията е насочена към използването на операционни системи Windows, Linux, Solaris.
Общите принципи на взаимодействие между възлите
Създаване на VPN тунел връзки, както и филтриране на трафика предлага мрежа за защита на водача на ниско ниво, което автоматично поддържа множество протоколи данни за връзка. За изпълнение на тунели VPN-връзки между възли и мрежите, които използват два вида IP-протокол, който е пълен във всеки друг IP протокол: IP / 241 и IP / UDP (с порт 55777 по подразбиране).
Работни стойности в различни случаи, свързани към мрежата
За организирането на мрежовите възли от всяка от точките на клиента мрежа и координатора имат възможността да работят самостоятелно, така и чрез различни типове устройства в NAT функции.
По време на работа на възлите автоматично, независимо от избрания режим на работа определя взаимното разположение и, съответно, начин за достъп до един от друг.
Работни възли без помощта на защитната стена
Трафик между клиентите в този режим е капсулиран в IP-IP протокол пакети / 241 (фиг. 2). Трафик на възлите с координаторите, с възли, разположени зад защитна стена, винаги е опакован в IP / UDP протокола.
Координатна монтирани на границата мрежа, в този режим извършва NAT функция за VPN-съединенията към всяка от мрежите, и изпълнява кодиране и опаковане на UDP-формат (тунелиране) предварително определен отворен трафик мрежа (фиг. 2).
Тунелира трафик може да отвори всички устройства, които са част от всеки мрежов интерфейс, включително и услуги рутери, управление на трафика в мрежата.
Работа възли помощта на защитната стена тип "VipNet-координатор"
Ако на границата LAN поставен координатор, мрежовите възли са разположени в експлоатация през него. Във всеки даден възел е достъпно координатор може да бъде избран като такъв координатор. Това позволява на потребителите на мобилни устройства за достъп до всички ресурси от всяка мрежа, когато е налична. Възможност да избирате различни фокусни точки също е полезно в случай на повреда на индивидуален оборудване или комуникационни канали или пропуснете трафик по определен маршрут, ако е необходимо.
Ако искате да защитите някои дистанционно LAN сегмент, координационните центрове, включени в каскада (фиг. 4).
Работни места с помощта на защитната стена тип "С" статичен NAT
Ако вашата локална мрежа или на границата на доставчика вече е инсталирана защитна стена от друг производител, който изпълнява функцията NAT и Firewall е достъпно, за да изберете NAT на статични правила, а след това възелът е избран Firewall режим "С статичен NAT". Ако локалната мрежа има координатор, този режим е избран от него. Други компоненти са монтирани на координатора и ги пакети за външна защитна стена ще мине през нея (фиг. 5).
При липса на фокусна точка за всеки от клиентите, за да изберете вида на защитната стена "С статичен NAT" и получава достъп до пристанището.
За да се осигури свободно преминаване на трафика през външен Firewall, то стандартни правила статичен NAT трябва да бъдат създадени, за да се гарантира, че пакети или само за координатора, или за всеки клиент в пристанището си, ако няма координатор.
Работа възли помощта на защитната стена тип "С динамичен NAT"
Всички стандартни NAT устройства осигуряват пас трафик режим външно едностранно съединения. За да изпълните двупосочна възел работа в този режим, след като свързан с мрежата извършва периодичен избирателните на избраната фокусна точка, която се намира във външна мрежа, която осигурява NAT устройство за постоянната подкрепа на временни правила за достъп за трафик от координатора. Други сайтове, когато се опитват да се свързва автоматично изпратени на първия пакет чрез координатора и получени непосредствено след първия пакет отговор и създават толерантен правило на NAT устройство автоматично ще започне да прехвърля целия трафик, както директно, заобикаляйки координатор. Така постоянна наличност се прилага за възел с NAT устройство и, едновременно, значително увеличава скоростта на обмен между възлите чрез организиране на тяхното директно взаимодействие.
Ако имате фокусна точка на LAN зад NAT устройство в това, в този режим е координатор. Други компоненти са монтирани на координатора.
Можете да го направите без промяна
Свързани статии