Часть II.

Модуль III. Организация защищенных VPN соединений.


Внимание! Подробное содержание этого модуля находится в разработке. Ниже представлено описание модуля.


Этот модуль является продолжением предыдущего. Он будет иметь еще больший практический уклон. В этом модуле, мы перейдем к практическому внедрению изученных технологий в большую корпоративную сеть, в наш основной проект. Именно так, как Вы будите делать это в рамках реального предприятия. Однако, без знаний из прошлого модуля, сделать это будет невозможно.

Нам предстоит на удаленном компьютере развернуть филиальную сеть и подключить её к головной сети посредством одной из изученных в прошлом модуле VPN технологии. Два филиала, будут разделены друг от друга посредством реального Интернет. Потребуется также настроить acсess-листы и изучить особенности динамической маршрутизации при подобном подключении. В филиале один пограничный роутер, а в головной сети - два, поэтому потребуется каким-то образом реализовать незаметную переустановку IPsec ассоциаций безопасности в случае, если один из пограничных роутеров головного офиса откажет в обслуживании. По мимо подключения филиала, потребуется подключить к сети и удаленных сотрудников. На компьютер удаленного сотрудника, нами будет устанавливаться VPN клиент. Учетная запись удаленного сотрудника, будет вноситься в контроллер домена, работающий в связке с Radius сервером. В зависимости от логина и пароля, который ввел удаленный сотрудник в VPN клиент, Radius сервер будет подключать для него тот или иной acсess-лист, в результате чего некоторые сотрудники будут иметь полный доступ к нашей сети, а некоторые сотрудники – только к её отдельным участкам. По мимо этого, для VPN клиента удаленного сотрудника будет выписываться сертификат, с помощью которого он будет проходить аутентификацию. Подобную задачу можно реализовать как с помощью IPsec, так и с помощью SSL, поэтому нами будет изучено оба варианта. SSL может работать в режиме проброса портов, а может в режиме толстого и тонкого клиента, он может конфигурироваться как с помощью команд, так и с помощью веб-интерфейса, SSL может работать как на Cisco IOS, так и на Cisco ASA – нами будут реализованы все эти варианты, поэтому нас ждет и знакомство с Cisco ASA тоже.

Обобщая, можно сказать, что изучив этот модуль, Вы, на наших практических примерах, научитесь соединять филиалы посредством различных VPN технологий и выбирать конкретную наилучшую технологию; научитесь подключать удаленных сотрудников и предоставлять им ограниченный доступ к сетевым ресурсам; научитесь выписывать сертификаты для VPN клиентов; научитесь работать с Radius сервером; узнаете о полуторной фазе IPsec и технологии NAT Traversal; научитесь работать с Cisco ASA; научитесь конфигурировать устройства не только с помощью команд, но и с помощью WEB и ASDM интерфейса.

В конечном итоге, Вы сможете развертывать полноценные VPN решения в реальной корпоративной среде.