Студопедия Главная Случайная страница Обратная связь

Разделы: Автомобили Астрономия Биология География Дом и сад Другие языки Другое Информатика История Культура Литература Логика Математика Медицина Металлургия Механика Образование Охрана труда Педагогика Политика Право Психология Религия Риторика Социология Спорт Строительство Технология Туризм Физика Философия Финансы Химия Черчение Экология Экономика Электроника

Мастер настройки сетевых интерфейсов




При первом запуске ViPNet Координатор [Монитор], если на компьютере не обнаружится стандартная конфигурация, то вызывается Мастер настройки сетевых интерфейсов.

 

Замечание: Мастер не вызывается, если в системе обнаружен один или не обнаружено ни одного сетевого интерфейса.

 

В окне мастера настройки сетевых интерфейсов следует нажать кнопку Далее> (Рис. 6.15.) и далее следовать указаниям мастера. Откроется окно Сетевые интерфейсы (Рис. 6.16.).

Рис. 6.16. Выбор активных сетевых интерфейсов

В окне Сетевые интерфейсы следует выбрать интерфейсы, которые будут активны при работе с ViPNet [Координатор] [Монитор]. По умолчанию все интерфейсы являются активными (т.е. помечены флажками).

Нужно установить активные и неактивные интерфейсы с помощью включения и выключения флажков в начале строки с названием сетевого интерфейса.

Неактивные (отключенные) сетевые интерфейсы не участвуют в передаче IP-пакетов, при этом трафик на них блокируется, и соответствующая информация записывается в журнал IP-пакетов. Для обеспечения работоспособности ViPNet Координатор [Монитор] нужно установить активными не менее двух сетевых интерфейсов (иначе кнопка Далее> будет недоступна).

На последующих шагах мастера будут производиться настройки только активных сетевых интерфейсов. После выбора сетевых интерфейсов нажать кнопку Далее>. Откроется окно Тип интерфейсов (Рис. 6.17.). В этом окне выбрать тип сетевых интерфейсов – внутренний или внешний.

Рис. 6.17. Тип интерфейса

Для выбора типа сетевого интерфейса следует разместить интерфейс в нужном списке Внешние интерфейсы или Внутренние интерфейсы при помощи кнопок или .

По умолчанию (при первом появлении окна Тип интерфейсов) все интерфейсы размещены в списке Внешние интерфейсы.

Внешний тип сетевого интерфейса рекомендуется выбирать для подключения к внешним сетям (в т.ч. глобальной сети Интернет), внутренний тип – для подключения к локальной защищаемой сети.

После настройки типов сетевых интерфейсов необходимо нажать кнопку Далее>. Откроется окно Режимы безопасности интерфейсов (Рис. 6.18.). В этом окне для каждого сетевого интерфейса следует настроить режим безопасности.

По умолчанию на внутренних интерфейсах устанавливается 4-й режим, на внешних интерфейсах устанавливается 3-й режим.

Для изменения режима безопасности нужно выбрать сетевой интерфейс из списка Сетевые интерфейсы и ниже в списке Режим интерфейса указать нужный режим (для режима 3 Бумеранг необходимо выбрать еще тип бумеранга) и после нажать кнопку Далее>.

Откроется окно Антиспуфинг (Рис. 6.19.), где имеется возможность включить или отключить антиспуфинг, а также включить режим редактирования параметров антиспуфинга.

По умолчанию антиспуфинг активизирован на всех сетевых интерфейсах (в опции Антиспуфинг установлен флажок). При включенном антиспуфинге происходит блокирование пакетов с неправильным адресом отправителя. Для обеспечения лучшей безопасности сети рекомендуется включить антиспуфинг.

Рис. 6.19. Выбор режимов безопасности на сетевых интерфейсах

Рис. 6.20. Окно Антиспуфинг

В правилах антиспуфинга для каждого сетевого интерфейса заданы диапазоны IP-адресов, пакеты от которых допустимы на интерфейсе. При этом пакеты, в которых IP-адрес отправителя не попадает в допустимый диапазон адресов, указанный на сетевом интерфейсе, будут блокироваться.

По умолчанию допустимыми считаются следующие адреса отправителя:

для внешних сетевых интерфейсов – адреса, допустимые в Интернет – этовсе IP-адреса, кроме зарезервированных для использования в локальных сетях: 127.0.0.0/8, 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16),

для внутренних интерфейсов – адреса из диапазона соответствующего IP-адресу интерфейса и маске локальной сети.

При необходимости допустимые адреса можно изменять. Пакеты, прошедшие через механизм антиспуфинга, попадают на обработку правилами фильтрации пакетов.

Можно отредактировать параметры антиспуфинга (допустимые адреса отправителя) на следующем шаге мастера, если включить опцию Редактировать параметры антиспуфинга на следующем шаге. Включать эту опцию и редактировать параметры антиспуфинга, установленные программой по умолчанию, рекомендуется только опытным пользователям.

После завершения настроек антиспуффинга нужно нажать кнопку Далее>.

Если вы опция Редактировать параметры антиспуфинга на следующем шаге была активирована, то откроется окно Параметры антиспуфинга (Рис. 6.20.), где для каждого сетевого интерфейса можно настроить список допустимых адресов отправителя в передаваемых IP-пакетах.

Рис. 6.20. Параметры антиспуфинга

По умолчанию для сетевых интерфейсов уже заданы следующие IP-адреса отправителя:

для внешних сетевых интерфейсов заданы допустимые в Интернет адреса (в поле IP-адреса отправителя выбрано значение Допустимые в Интернет),

для внутренних интерфейсов заданы адреса, соответствующие IP-адресу интерфейса и маске локальной сети (в разделе IP-адреса отправителя выбрана опция Другие и указаны адреса согласно системным данным).

Можно изменить допустимые адреса отправителя в передаваемых пакетах, выбрав сетевой интерфейс из списка, установив переключатель раздела IP-адреса отправителя в нужное положение (Допустимые в Интернет или Другие). При выборе значения Другие настроить необходимые адреса в поле IP-адреса отправителя при помощи кнопок Добавить…, Изменить… и Удалить. Кнопка По умолчанию установит значения адресов для выбранного интерфейса в значение по умолчанию.

После завершения настроек следует нажать кнопку Далее>для продолжения. Откроется окно Система готова к сохранению конфигурации (Рис. 6.21.), где можно убедиться в правильности настроек сетевых интерфейсов, после чего нажать кнопку Далее>. Откроется окно Завершение работы мастера «Настройка сетевых интерфейсов» с информацией о выполненных действиях (0).

На этом настройка сетевых интерфейсов считается завершенной, все данные о настройке будут помещены в окне Сетевые интерфейсы программы ViPNet [Координатор] [Монитор], где в дальнейшем можно изменять настройки сетевых интерфейсов. Для завершения работы мастера необходимо нажать кнопку Готово и откроется главное окно ViPNet Координатор [Монитор] (Рис. 6.4.).

 

Шаг 3
Дальнейшие настройки ViPNet Координатор

Дальнейшие настройки координатора зависят от настроек, сделанных администратором в ЦУСе.

Рис. 6.21. Сохранение настроек сетевых интерфейсов

Рис. 6.22. Завершение настроек сетевых интерфейсов

Если ViPNet Координатор [Монитор] был полностью сконфигурирован администратором сети ViPNet в программе ЦУС, то в этом случае для обеспечения корректной работы координатора в сети никаких ручных настроек ViPNet Координатор [Монитор] производить не нужно. Также без каких-либо дополнительных настроек будут устанавливаться соединения Сетевых Узлов, расположенные в одной подсети с прямым доступом друг к другу по IP-адресу.

Необходимость в редактировании настроек ViPNet Координатор [Монитор] может появиться в случае изменения физического способа подключения координатора к сети или изменения других сетевых настроек. Вне зависимости от настроек, заданных в ЦУСе, необходимо произвести настройки на межсетевом экране, если работа Координатора должна происходить через установленный на границе сети межсетевой экран со статической либо динамической трансляцией адресов.

На координаторе должна быть произведена настройка маршрутизации трафика.

Если координатор должен использоваться в качестве сервера открытого Интернета, то рекомендуется выполнить соответствующие настройки.

Если ViPNet Координатор [Монитор] не был сконфигурирован администратором сети ViPNet или требуется изменение настроек соединений, то нужно произвести настройки на компьютере с ПО ViPNet [Координатор].

Первым делом после старта программы ViPNet Координатор [Монитор] нужно настроить адреса доступа для других Координаторов. Далее, при необходимости, настроить параметры соединения Координатора с другими узлами сети ViPNet в окне Настройки в соответствии с 0.

После того, как были изменены параметры в окне Настройки, в окне Защищенная сеть выбрать какой-либо координатор из списка сетевых узлов. Нажать кнопку Проверить соединение ( ) на панели инструментов, или нажать клавишу F5, или выберите соответствующий пункт в контекстном меню, открывающемся при щелчке правой кнопки мыши.

Если настройки выполнены верно, то появится сообщение об установке соединения с координатором. Если сообщения не появилось, то еще раз проверьте правильность настроек. Если соединение с Координаторами установилось, то все необходимые настройки для других узлов появятся автоматически.

Если Координатор планируется использовать для туннелирования трафика незащищенных узлов локальной сети, то необходимо осуществить настройку IP-адресов для туннелирования.

При необходимости, можно произвести и другие настройки для обеспечения соединения

 

Шаг 4
Окно «Сетевые интерфейсы»

В дереве настроек программы Монитор в окне Сетевые интерфейсы отображаются все сетевые интерфейсы компьютера, распознаваемые программой ViPNet [Координатор] [Монитор], а также настройки для них (Рис. 6.23.).

Рис. 6.23. Окно «Сетевые интерфейсы»

При необходимости изменения настроек сетевого интерфейса следует вызвать окно Свойства сетевого интерфейса (Рис. 6.24.).

Рис. 6.24. Свойства сетевого интерфейса

Шаг 5
Настройка IP-адресов или DNS-имен других ViPNet Координаторов

Использование службы DNS

Технология ViPNet позволяет прозрачно использовать службу DNS различным сетевым приложениям (например, web-браузер, ftp), функционирующим на защищенных компьютерах, для получения IP-адресов различных прикладных серверов. Технология ViPNet может использовать службу DNS для получения IP-адресов сетевых узлов ViPNet. Для функционирования службы DNS в сети ViPNet на DNS-сервере должны быть зарегистрированы DNS-имена и соответствующие им IP-адреса прикладных серверов с учетом ряда правил.

Настройка IP-адреса или DNS-имени координаторов

Для настройки IP-адреса или DNS-имени других координаторов нужно в окне Защищенная сетьдважды щелкнуть левой кнопкой мыши на имени нужного Координатора. Откроется окно Правило доступа (Рис. 6.25.), в котором следует выбрать вкладку IP-адреса.

Для задания IP-адреса Координатора нажать кнопку Добавить(Рис. 6.25.) и в открывшемся окне ввести IP-адрес, или включив опцию Использовать DNS-имя и нажав кнопку Добавить указать DNS-имя Координатора,затем нажать кнопку OK.

 

Замечание: Если используются виртуальные адреса, то для них необходимо настроить маршрутизацию, чтобы иметь доступ с данного Координатора к Координатору другой сети.

 

Рис. 6.25. Окно Правило доступа

Шаг 6
Правила регистрации IP-адресов узла на WINS-сервере

Технология ViPNet бесконфликтно может поддерживать работу только c защищенным WINS-сервером.

При этом на WINS-сервере, так же как и на DNS-сервере, для соответствующих NetBios-имен регистрируются реальные или виртуальные IP-адреса защищенных компьютеров в соответствии с их видимостью с узла, защищающего WINS-сервер.

Технология ViPNet поддерживает автоматическую регистрацию нужного типа адреса на WINS-сервере. Регистрация IP-адреса МЭ, используемого СУ, на WINS-сервере не допускается и технологией ViPNet в данной версии программы не поддерживается.

 

Шаг 7
Установка приоритетов выбора адресов доступа Координатора (настройка и использование метрики)

Если ViPNet Координатор имеет несколько адресов доступа (например, по разным каналам связи), то можно настроить приоритеты каналов для установления соединения сетевого узла с этим ViPNet Координатором. Приоритет каналов задается с помощью метрики для каждого возможного адреса доступа во вкладке Межсетевой экран (Рис. 6.25.) окна Правило доступа для выбранного Координатора защищенной сети.

Имеется возможность явно указать тот канал, через который узел будет работать всегда, когда этот канал доступен. Если самый приоритетный канал по каким-то причинам недоступен, то канал связи выберется в соответствии с настроенными для оставшихся каналов приоритетами. Когда самый приоритетный канал станет доступен, соединение с Координатором вновь установится через него.

Минимальная цифра метрики имеет больший приоритет в сравнении с мтрикой с большей цифрой.

 

Замечание: В данной версии программы определение приоритетных каналов с помощью метрики осуществляется только для Координаторов, работающих через МЭ со статической трансляцией адресов или работающих без использования МЭ.

Настройка метрики

Для настройки адресов доступа и метрики во вкладке Межсетевой экран (Рис. 6.26.) для одного из СУ сети ViPNet необходимо нажать кнопку Изменить для редактирования адреса и (или) метрики, или кнопку Добавить для добавления нового адреса, откроется окно IP-адрес доступа (Рис. 6.26.):

Опция Автоматическое назначение метрики по умолчанию включена, т.е. метрика для адреса доступа назначена автоматически. Это означает, что метрика равна 0, если для всех адресов доступа узла метрика назначена автоматически, либо, если хотя бы для одного адреса вручную назначено какое-либо значение метрики, то значение автоматической метрики на 100 миллисекунд больше максимального значения из метрик, назначенных вручную.

Для того, чтобы указать определенное значение метрики, следует отключить опцию Автоматическое назначение метрики, после чего станет доступно для редактирования поле Метрика, где можно задать значение метрики из диапазона от 1 до 9999.

 

Рис. 6.26. Назначение метрики

По окончании настроек в окне IP-адрес доступа необходимо нажать кнопку OK для сохранения настроек или кнопку Отмена для отмены настроек.

По умолчанию метрика назначается автоматически. В колонке Метрика отображается значение Автоматически (см. Рис. 6.26.), т.е. текущий адрес доступа координатора определяется программой автоматически. Если хотя бы для одного адреса вручную задать значение метрики, то автоматическое определение текущих адресов доступа прекращается, и адреса начинают определяться в соответствии со значениями метрики.

Правила назначения метрик

Метрики определяют задержки (в миллисекундах) при посылке тестовых пакетов для определения доступности канала. Чем метрика больше, тем больше задержка. Выбирается тот канал, доступность которого в результате тестовых посылок определится быстрее.

Назначение для адреса доступа наименьшей метрики приведет к тому, что узел будет выбирать для работы с координатором канал связи с этим адресом доступа всегда, когда этот канал доступен.

Канал связи с наименьшей метрикой считается самым приоритетным каналом работы для узла. Чем больше разница между метриками (наименьшей и назначенной другим адресам доступа), тем меньше вероятность, что при каких-либо сбоях самого приоритетного канала будет выбран менее приоритетный канал с большей метрикой.

Если метрики равны, то для работы будет выбран тот канал, через который соединение с координатором установится наиболее быстрым способом.

Если хотя бы для одного адреса доступа координатора значение метрики задано вручную и выбран не самый приоритетный канал (не с наименьшей метрикой), то определение доступности других каналов связи с целью возвращения к каналу с наименьшей метрикой, начнется одновременно с проверкой наличия соединения по выбранному каналу. Проверка наличия соединения по выбранному каналу осуществляется путем периодических опросов IP-адреса доступа координатора через этот канал.

Опрос координатора производится в соответствии с заданным периодом опроса (опция Параметры опроса в окне Дополнительно). Между координаторами период опроса по умолчанию равен 15 минутам, между АП и координатором – 5 минутам.

При старте программы [Монитор] и при выполнении функции проверки соединения вручную всегда осуществляется проверка доступности всех каналов связи с целью выбора для работы с координатором канала с наименьшей метрикой. После определения канала доступа, текущий адрес доступа отобразится в первой строке колонки IP-адрес вкладки Межсетевой экран.

 

Шаг 8
Настройка параметров соединения Координатора с другими узлами

Узлы сети ViPNet могут быть подключены к глобальной сети непосредственно, либо могут работать через межсетевые экраны (МЭ) и другие NAT-устройства различных производителей (в том числе через ViPNet Координатор).

Узлы сети ViPNet могут располагаться внутри локальных сетей любого типа, поддерживающих IP-протокол. Способ подключения к сети может быть любой. Это может быть сеть Ethernet, PPPoE через XDSL-подключение, PPP через обычный Dial-up или ISDN, сеть сотовой связи GPRS или Wireless-устройства, сети MPLS или VLAN. ПО ViPNet автоматически поддерживает разнообразные протоколы канального уровня.

Для создания защищенных VPN-соединений между узлами используются IP-протоколы двух типов (IP/241 и IP/UDP), в которые упаковываются любые другие IP-протоколы.

При взаимодействии любых сетевых узлов, принимающих друг от друга широковещательные пакеты, а также при взаимодействии между координаторами и сетевыми узлами, использующими эти координаторы в качестве межсетевого экрана (на СУ произведены соответствующие настройки ViPNet), используется более экономичный протокол IP/241. Этот протокол не имеет дополнительных UDP-заголовков размером 8 байт. Исходный пакет после шифрования упаковывается в IP-пакет с 241 номером протокола. Во всех остальных случаях используется протокол UDP. Исходный пакет после шифрования упаковывается в UDP-пакет с заданным портом назначения (по умолчанию 55777).

Настройка параметров соединения Координатора с другими узлами

Для обеспечения гарантированного соединения сетевого узла из любых точек сети с другими сетевыми узлами, в программе ViPNet Координатор [Монитор] есть возможность выбрать один из четырех типов соединения в зависимости от способа подключения Координатора к внешней сети.

Тип соединения выбирается в окне Настройки (Рис. 6.27.):

§ Непосредственное подключение к внешней сети (без использования МЭ) – в этом случае опция Использовать межсетевой экран должна быть выключена.

§ Соединение через ViPNet-координатор – в этом случае опция Использовать межсетевой экран должна быть включена, в опции Тип межсетевого экрана выбрано значение ViPNet-координатор.

§ Соединение через МЭ (NAT-устройство), на котором возможна настройка статических правил трансляции адресов – в этом случае опция Использовать межсетевой экран должна быть включена, в опции Тип межсетевого экрана выбрано значение Со статической трансляцией адресов.

§ Соединение через МЭ (NAT-устройство), на котором настройка статических правил трансляции адресов затруднительна или невозможна – в этом случае опция Использовать межсетевой экран должна быть включена, в опции Тип межсетевого экрана выбрано значение С динамической трансляцией адресов.

Рис. 6.27. Окно «Настройки» ViPNet Координатора

Шаг 9
Сетевые фильтры

Для того, чтобы правильно выполнить настройки правил фильтрации, необходимо понимать основные принципы фильтрации IP-пакетов в программе Монитор. Правила фильтрации IP-трафика являются результатом действия правил антиспуфинга, характеристик выбранного режима безопасности для каждого сетевого интерфейса и списка сетевых фильтров для конкретных IP-адресов, протоколов и портов, заданных пользователем.

Список сетевых фильтров задается пользователем в виде древовидной структуры отдельно для Защищенной сети и Открытой сети. Принципы фильтрации различаются для защищенной и открытой сети.

Для Защищенной сети:

Дерево фильтров позволяет задавать фильтры на отдельный IP-адрес (первый уровень фильтрации) и определять фильтры на типы протоколов, направление установления соединения (прохождения IP-пакетов) и номера портов (второй уровень фильтрации).

Существуют автоматически создаваемые сетевые фильтры, которые можно модифицировать, но нельзя удалять: главный и широковещательный фильтры для Защищенной сети.

Для Открытой сети:

Сетевые фильтры настраиваются по паре адресов пакета (IP-адресу отправителя и получателя или диапазону IP-адресов отправителей и получателей).

Окно Открытая сеть поделено на четыре группы фильтрации для разных типов пакетов:

Широковещательные IP-пакеты;

Локальные входящие IP-пакеты;

Локальные исходящие IP-пакеты;

Транзитные IP-пакеты.

В группе фильтрации Широковещательные IP-пакеты существует автоматически созданный сетевой фильтр Все широковещательные IP-пакеты, который пользователь при необходимости может модифицировать, отключить или удалить.

В остальных группах фильтрации по умолчанию фильтры не заданы, т.е. фильтрация осуществляется в рамках установленного режима безопасности. Дерево фильтров позволяет пользователю задавать собственные сетевые фильтры в каждой группе фильтрации..

Каждый сетевой фильтр изначально состоит из Правила доступа и подчиненного ему фильтра протоколов с именем Все протоколы. В Правиле доступа настраиваются адреса (отправителя и получателя пакета) по которым будет осуществляться отбор пакетов для фильтрации. Подчиненный фильтр Все протоколы определяет условия фильтрации пакетов и действие фильтра (Пропускать или Блокировать пакеты). Для каждого Правила доступа можно добавлять дополнительные фильтры протоколов. Фильтрация пакетов может быть настроена в зависимости от времени.

Список сетевых фильтров для Защищенной сети

Окно Защищенной сеть (Рис. 6.4.) поделено на три группы фильтрации.

Главный фильтр с именем IP-пакеты всех адресатов – определяет общее правило фильтрации для всех сетевых узлов из окна Защищенная сеть.

Широковещательный фильтр с именем Широковещательные IP-пакеты всех адресатов – определяет правило фильтрации для всех шифрованных широковещательных пакетов. Работа фильтров для широковещательных пакетов не зависит от настроек других фильтров.

Индивидуальные фильтры - фильтры для конкретных сетевых узлов Защищенной сети.

Фильтр протоколов – может быть настроен для широковещательного, главного и индивидуального фильтров. Фильтр протоколов всегда подчинен какому-либо фильтру из указанных выше.

Microsoft SQL фильтр – может быть использован при установке ViPNet Координатор на Microsoft SQL сервер с целью ограничения доступа пользователей (с установленным ПО ViPNet) на SQL сервер, либо для предотвращения прихода нежелательных данных. Фильтр работает на уровне протокола TDS (протокол передачи данных для MS SQL). Microsoft SQL фильтр всегда подчинен какому-либо индивидуальному фильтру для пользователя Защищенной сети.

Список сетевых фильтров для Открытой сети

Окно Открытая сеть (Рис. 6.28.) поделено на четыре группы фильтрации (по типам обрабатываемых пакетов):

Широковещательные IP-пакеты – группа фильтрации предназначена для настройки правил фильтрации широковещательных пакетов.

Правила фильтрации широковещательных пакетов задаются только для входящего трафика (т.е. адресованных на один из адресов компьютера с ViPNet Координатор [Монитор]). Для исходящего трафика действуют правила установленного режима. По умолчанию этот фильтр блокирует все входящие широковещательные пакеты, за исключением пакетов для отдельных протоколов, а именно разрешены:

Широковещательные пакеты nbname (порт 137) и nbdatagram (порт 138) предназначены для организации работы службы имен NETBIOS – определения имен компьютеров, входящих в Microsoft Network.

Широковещательные пакеты bootp (порты 67 и 68) предназначены для организации работы службы DHCP – получения компьютером IP-адреса при его загрузке.

Рис. 6.28. Окно Открытая сеть

Локальные входящие IP-пакеты – группа фильтрации предназначена для настроек фильтрации нешироковещательных IP-пакетов, приходящих на локальную машину (т.е. адресованных на один из адресов компьютера с ViPNet Координатор [Монитор]).

В эту группу можно добавить Собственный сетевой фильтр (Рис. 6.28.) –(Правило доступа + фильтр протоколов Все протоколы) для IP-пакетов с заданными пользователем параметрами. По умолчанию фильтр пропускает пакеты.

IP-адреса отправителя – в этом разделе можно добавить, изменить или удалить IP-адреса отправителя пакета или диапазон IP-адресов. Адреса отправителя, если заданы адреса получателя, могут не задаваться. В этом случае считается, что задан диапазон 0.0.0.0 – 255.255.255.255.

IP-адреса получателя – в этом разделе можно добавить, изменить или удалить IP-адреса получателя пакета или диапазон IP-адресов. Адреса получателя, если заданы адреса отправителя, могут не задаваться. В этом случае считается, что задан диапазон 0.0.0.0 – 255.255.255.255.

 

Замечание: При добавлении правила доступа в группу фильтрации Локальные исходящие IP-пакеты или Локальные входящие IP-пакеты в полях IP-адреса отправителя или IP-адреса получателя соответственно должны присутствовать адреса компьютера ViPNet Координатор [Монитор]. Такие настройки проверяются при сохранении.

 

Рис. 6.29. Добавление Собственного сетевого фильтра

Локальные исходящие IP-пакеты – группа фильтрации предназначена для настроек фильтрации нешироковещательных IP-пакетов, исходящих с локальной машины (т.е. адресованных от одного из адресов компьютера с ViPNet Координатор [Монитор]). В эту группу можно добавить Собственный сетевой фильтр (Рис. 6.30).

Транзитные IP-пакеты – группа фильтрации предназначена для настроек фильтрации нешироковещательных IP-пакетов, проходящих через локальную машину как через маршрутизатор (т.е. пакетов, адреса получателя и отправителя которых не совпадают ни с одним из адресов компьютера с ViPNet Координатор [Монитор]). В эту группу также можно добавить Собственный сетевой фильтр (Рис. 6.28.).

Настройка расписания применения фильтров для Открытой сети

Для каждого фильтра протоколов для Открытой сети имеется возможность настроить расписание работы этого фильтра, т.е. время, когда фильтр будет включен и когда отключен. Для настройки расписания применения фильтра следует нажать в окне Фильтр протоколов (Рис. 6.30.) кнопку Настроить расписание… Откроется окно Расписание (Рис. 6.31.). После настройки расписания работы фильтра, в окне Открытая сеть в колонке Расписание для этого фильтра появится значок наличия расписания (Рис. 6.28.).

 

Рис. 6.30. Добавление Собственного сетевого фильтра

Рис. 6.31. Настройка Расписания применения фильтров Открытой сети

Порядок применения фильтров и зависимость от режима безопасности

Принцип применения фильтров для открытой и защищенной сети несколько отличается.

Для Защищенной сети:

- если фильтр имеет два уровня, то сначала применяются подчиненные фильтры протоколов, а потом фильтр первого уровня (если пакет не соответствует условиям ни одного из подчиненных фильтров).

Для Открытой сети:

- для каждой группы фильтрации все фильтры применяются друг за другом по порядку сверху вниз, так, как они отображены в окне Открытая сеть, т.е. для каждого правила доступа применяются по порядку все подчиненные ему фильтры протоколов.

Применение разрешающих сетевых фильтров для открытого трафика происходит по следующему принципу:

- Разрешающие фильтры в окне Открытая сеть разрешают не отдельные пакеты, а соединения. Т.е. все сетевые фильтры применяются к пакетам, инициирующим соединения. При приходе первого пакета, удовлетворяющего параметрам сетевого фильтра, устанавливается соединение, и далее внутри этого соединения пропускаются все входящие и исходящие пакеты, отвечающие заданному правилом фильтрации адресу, протоколу и параметрам протокола. Действие разрешающих фильтров аналогично действию режима "жёсткий бумеранг", но в отличие от этого режима, пакетами, инициирующими соединения, могут быть как исходящие, так и входящие пакеты (в зависимости от настроек сетевого фильтра).

Блокирующие фильтры открытого трафика блокируют пакеты указанного в фильтре направления кроме тех пакетов, которые являются ответами в рамках разрешенных соединений, заданных другими разрешающими фильтрами.

Любой фильтр протоколов может быть отключен. В этом случае в обработке пакетов он участвовать не будет, но запись об этом фильтре сохранится.

Работа фильтров зависит от установленных режимов безопасности.

- Если установлен 5-й режим, то через такой сетевой интерфейс пропускаются все пакеты вне зависимости от каких-либо установок фильтров.

- При этом пакеты от защищенных адресатов не будут расшифровываться и будут восприниматься прикладными программами как испорченные.

- Пакеты для защищенных адресатов будут отправляться открытыми.

В остальных режимах работа происходит следующим образом:

- Первым делом определяется, относится ли пакет (входящий или исходящий) к адресату защищенной сети и является ли он зашифрованным.

- Если от адресата защищенной сети приходит незашифрованный пакет, то он блокируется (события 22 и 23).

Для шифрованных пакетов применяются фильтры Защищенной сети в следующем порядке:

· Сначала применяется главный фильтр. В результате применения фильтра пакет может быть заблокирован (событие 10).

· Для широковещательных шифрованных пакетов применяется широковещательный фильтр Защищенной сети. В результате применения фильтра пакет может быть заблокирован (событие 3).

· Затем для нешироковещательных пакетов применяется индивидуальный фильтр (включая его подчиненные фильтры протоколов), установленный именно для этого адресата.

· Далее, для нешироковещательных пакетов, по которым не было принято решение, если настроен Microsoft SQL фильтр, он применяется, в результате пакет может быть заблокирован.

· Если пакет не был заблокирован ни в одном из фильтров, то он пропускается.

Для нешифрованных пакетов применяются фильтры Открытой сети, то работа фильтров зависит от установленного режима безопасности.

- Если установлен 1-й режим, то все пакеты блокируются вне зависимости от настроенных разрешающих сетевых фильтров.

- Если установлен 4-й режим, то все пакеты пропускаются вне зависимости от настроенных запрещающих сетевых фильтров.

- Если установлен 2-й или 3-й режим, то для поступившего на сетевой интерфейс пакета сначала определяется, к какой группе фильтрации он относится, и в зависимости от типа пакета по порядку сверху вниз применяются сетевые фильтры из соответствующей группы фильтрации:

· Для широковещательных пакетов применяются фильтры группы Широковещательные IP-пакеты. В результате применения этих фильтров пакет может быть либо заблокирован,либопропущен.

· Для нешироковещательных локальных входящих пакетов (т.е. пакетов, адреса получателя которых совпадают с одним из адресов локальной машины) применяются фильтры группы Локальные входящие IP-пакеты (если таковые настроены). В результате применения этих фильтров пакет может быть либо заблокирован,либопропущен.

· Для нешироковещательных локальных исходящих пакетов (т.е. пакетов, адреса отправителя которых совпадают с одним из адресов локальной машины) применяются фильтры группы Локальные исходящие IP-пакеты (если таковые настроены). В результате применения этих фильтров пакет может быть либо заблокирован,либопропущен.

· Для нешироковещательных транзитных пакетов (т.е. пакетов, адреса получателя и отправителя которых не совпадают ни с одним из адресов локальной машины) применяются фильтры группы Транзитные IP-пакеты (если таковые настроены). В результате применения этих фильтров пакет может быть либо заблокирован,либопропущен.

· Для всех остальных пакетов, по которым не было принято решение предыдущими фильтрами, действует режим работы, настроенный на сетевых интерфейсах - если установлен 2-й режим, то все пакеты блокируются, если установлен 3-й режим, то работает механизм бумеранга.

Шаг 10
Настройка трансляции IP-адресов (NAT)

Трансляция сетевых адресов (NAT) – это технология, позволяющая преобразовывать IP-адреса, использующиеся в одной сети в IP-адреса, использующиеся в другой. NAT обычно применяется для решения двух основных задач:

- NAT позволяет локальным сетям, использующим частные адреса, получать доступ к ресурсам Интернет.

- NAT позволяет скрыть внутреннюю структуру локальной сети, в результате чего становится практически невозможным напрямую атаковать тот или иной узел локальной сети.

Функции NAT конфигурируются на компьютере, разграничивающем локальную (внутреннюю) сеть и глобальную сеть (например, Интернет). Этот компьютер должен иметь как минимум два сетевых интерфейса.

- Один из сетевых интерфейсов, обеспечивающий доступ в Интернет и имеющий публичный IP-адрес (внешний интерфейс).

- Один из сетевых интерфейсов (внутренний интерфейс), который может иметь любой адрес (как частные, так и публичные).

При прохождении сетевых пакетов через компьютер с функциями NAT с внутреннего интерфейса на внешний, а затем обратно, происходит трансляция сетевых адресов (NAT).

NAT в ПО ViPNet Координатор

В ПО ViPNet Координатор трансляция адресов выполняется для любых IP-протоколов. Однако для всех протоколов кроме TCP, UDP и ICMP выполняется частичная трансляция (см. ниже).

ПО ViPNet Координатор может производить трансляцию двух типов - статическую трансляцию и динамическую (или точнее разновидность динамической трансляции, известной под названием "Masquerading"):

- Статическая трансляция адресов устанавливает соответствие адресов по типу «один к одному», т.е. один глобальный (публичный) адрес маршрутизатора (на маршрутизатор устанавливается ViPNet Координатор) соответствует одному частному адресу внутренней сети.

- Динамическая трансляция адресов устанавливает соответствие между несколькими частными адресами внутренней сети и одним публичным адресом маршрутизатора путем присвоения уникальных дополнительных параметров (например, портов).

Статическая и динамическая трансляция адресов производится только при настройках соответствующих правил трансляции на ViPNet-координаторе.

Для обеспечения возможности работы FTP-клиентов в активном режиме ViPNet Координатор производит также трансляцию сетевых адресов на прикладном уровне для протокола FTP в автоматическом режиме без каких-либо настроек правил трансляции.

Для всех протоколов кроме TCP, UDP, ICMP при трансляции адресов учитываются только IP-адреса. Поэтому для таких протоколов динамическая трансляция адресов выполняется со следующим ограничением – трансляция адресов не будет работать в том случае, если одновременно сразу несколько узлов из внутренней (локальной) сети устанавливают соединение с одним и тем же адресом внешней (глобальной) сети.

ПО ViPNet Координатор позволяет пользователю самостоятельно добавить статические правила трансляции, динамические правила трансляции, ряд предустановленных правил трансляции, в которых уже настроена часть необходимых параметров (для предоставления доступа из внешней сети к определенным сетевым сервисам локальной сети), для организации выхода компьютеров локальной сети в Интернет.

Настройка правил трансляции IP-адресов происходит в окне Трансляция адресов (Рис. 6.32.).

Рис. 6.32. Окно Трансляция адресов

Перед настройкой правил трансляции необходимо проверить настройки параметров внутренней и внешней сетей в окне Автозаполнение (Рис. 6.33.). Правильные настройки в этом окне облегчают создание и настройку новых правил трансляции.

Рис. 6.33. Окно Автозаполнение

Добавление статического правила трансляции

Для добавления статического правила трансляции, в окне Трансляция адресов (0) необходимо выбрать в главном меню программы Монитор Действия --> Правила трансляции адресов --> Добавить статическое… (Рис. 6.34.). Откроется окно Правило трансляции адресов (Рис. 6.35.).

Рис. 6.34. Добавление Правила трансляции адресов

Рис. 6.35. Окно Правило трансляции адресов

 

Замечание: По умолчанию часть полей окна Правило трансляции адресов заполнится автоматически, если произведены настройки в окне Автозаполнение.

 

При необходимости значения полей в окне Правило трансляции адресов (Рис. 6.35.) могут быть отредактированы.

Все произведенные настройки можно сохранить, если нажать кнопку OK или отменить, если нажать кнопку Отмена. После сохранения созданное правило появится в окне Трансляция адресов (Рис. 6.36.).

Рис. 6.36. Окно Трансляция адресов

Добавление динамического правила трансляции

Для добавления динамического правила трансляции в окне Трансляция адресов (0) необходимо выбрать в контекстном меню Добавить динамическое… по правой кнопке мыши. Откроется окно Правило трансляции адресов. В окне Правило трансляции адресов можно настроить параметры для правила трансляции (Рис. 6.37.).

Рис. 6.37. Окно Правило трансляции адресов

Замечание: По умолчанию часть полей окна Правило трансляции адресов заполнится автоматически, если произведены настройки в окне Автозаполнение (Рис. 6.33.).

При необходимости значения полей могут быть отредактированы.

Все произведенные настройки можно сохранить, если нажать кнопку OK или отменить, если нажать кнопку Отмена. После сохранения созданное правило появится в окне Трансляция адресов (Рис. 6.38.).

Рис. 6.38. Окно Трансляция адресов после настройки правил

Добавление предустановленных правил трансляции для почтового, web-, ftp- серверов и локальной сети

ViPNet Координатор предоставляет возможность добавить ряд правил трансляции, в которых уже настроена часть необходимых параметров в соответствии с назначением правила. Можно добавить правила трансляции адресов для предоставления доступа из внешней сети к определенным сетевым сервисам локальной сети, (назовем такие правила – Публикация сервера в Интернет), а также добавить правила трансляции адресов для организации выхода компьютеров локальной сети в Интернет (назовем такие правила – Выход локальной сети в Интернет).

Правила трансляции адресов для почтового сервера, Web-сервера или FTP-сервера относятся к статическому типу трансляции, а правила трансляции для локальной сети относятся к динамическомутипу трансляции.

При добавлении статических правил трансляции для почтового сервера, Web-сервера или FTP-сервера в окне Трансляция адресов (0) нужно использовать контекстное меню по правой кнопке мыши Добавить для --> почтового сервера…, или Web-сервера…, или FTP-сервера… (Рис. 6.39.). Эти команды доступны также в главном меню Действия → Правила трансляции адресов.

Будет запрошен IP-адрес сервера внутренней сети, который нужно опубликовать во внешней сети (Рис. 6.40.). Необходимо его задать и нажать кнопку ОК.

Рис. 6.40. Добавление правил доступа к сервисам локальной сети

Рис. 6.41. Окно IP-адреса сервера внутренней сети

Замечание: Если произведены настройки в окне Автозаполнение, то далее откроется окно Правило трансляции адресов, где все поля будут заполнены в соответствии со значениями окна Автозаполнение, а также в зависимости от вида настраиваемого правила.

 

После указания адреса сервера внутренней сети будет запрошен адрес для внешней сети (Рис. 6.41.). Необходимо его задать и нажать кнопку ОК.

Рис. 6.42. Окно IP-адреса для внешней сети

Откроется окно Правило трансляции адресов (Рис. 6.42.), в котором отобразятся набранные IP-адреса сервера для внутренней сети и для внешней сети. Для введения правила в действие (записи в окне Трансляция адресов (Рис. 6.43.) необходимо нажать ОК.

Рис. 6.43. Окно Правило трансляции адресов

Рис. 6.44. Окно Трансляция адресов

Значения предустановленных опций окна для различных правил трансляции описаны в таблице (Таблица 1).

Таблица 1

  Имя правила Протокол Порт Комментарий
Правило для почтового сервера Почтовый сервер TCP Публикация Почтового сервера в Интернет
Правило для Web-сервера Веб-сервер TCP Публикация Веб-сервера в Интернет
Правило для FTP-сервера FTP-сервер TCP Публикация FTP-сервера в Интернет

Настройка правил трансляции для локальной сети

При добавлении динамического правила трансляции адресов для организации выхода компьютеров локальной сети в Интернет в окне Трансляция адресов необходимо использовать контекстное меню по правой кнопке мыши Добавить для → локальной сети… соответственно (0). Если произведены настройки в окне Автозаполнение, то далее откроется окно Правило трансляции адресов, где все поля будут заполнены в соответствии со значениями окна Автозаполнение.

Если в окне Автозаполнение не указаны параметры внутренней (внешней) сети или использование этого окна отключено, то перед появлением окна Правило трансляции адресов появятся окна заполнения IP-адресов для внутренней и (или) внешней сети (Рис. 6.45.):

Рис. 6.45. Окно заполнения IP-адресов для внутренней сети

Следует задать адреса или диапазоны адресов компьютеров внутренней сети, которым нужно обеспечить доступ в Интернет, при помощи кнопок Добавить, Изменить, Удалитьи нажмите OK и задать IP-адрес внешнего сетевого интерфейса МЭ, после чего нажать OK.

Рис. 6.46. Окно заполнения IP-адресов для внешней сети

Далее откроется окно Правило трансляции адресов (Рис. 6.46).

Поскольку добавляемые правила являются динамическими, то интерфейс окна Правило трансляции адресов совпадает с Рис. 6.37. Все произведенные настройки можно сохранить, если нажать кнопку OK или отменить, если нажать кнопку Отмена. После сохранения созданное правило появится в окне Трансляция адресов.

Описание окна Трансляция адресов и основных действий в этом окне

В окне Трансляция адресов отображается список правил трансляции адресов, добавленных пользователем (Рис. 6.47.).

Рис. 6.47. Окно Правило трансляции адресов

Рис. 6.48. Окно Трансляция адресов

Для каждого правила отображается следующая информация:

Название столбца Описание
Правила трансляции Имя правила, заданное пользователем, значок типа правила ( – динамическое правило трансляции, – статическое правило трансляции) и признак активности правила – включено ( ), выключено ( ); отключенное правило не используется для трансляции. Можно включить/отключить правило, щелкнув мышью на соответствующем значке или выбрав соответствующий пункт контекстного меню по правой кнопке мыши).
Внутренний IP-адрес Список адресов и диапазонов компьютеров внутренней сети, заданный в качестве параметров внутренней сети правила трансляции.
Внутренний порт Протокол и номер порта для соединения с внутренней сетью, заданные в качестве параметров внутренней сети правила трансляции. Если поле пустое, то значит любое значение.
Внешний IP-адрес Адрес сетевого интерфейса ViPNet Координатор [Монитор], обеспечивающего доступ во внешнюю сеть, заданный в качестве параметра внешней сети правила трансляции.
Внешний порт Протокол и номер порта для соединения с внешней сетью, заданные в качестве параметров внешней сети правила трансляции. Если поле пустое, то значит любое значение.
Комментарий Комментарий к правилу трансляции адресов. По умолчанию задается программой, но может быть изменен пользователем.

Порядок правил трансляции в списке можно изменять с помощью кнопок и (Рис. 6.47.)в нижней части окнаТрансляция адресов. Для упрощения настроек правил трансляции можно предварительно произвести настройки в окне Автозаполнение.

В окне Автозаполнение (Рис. 6.48.) устанавливаются параметры, которые будут использоваться как значения по умолчанию при добавлении новых правил трансляции. Рекомендуется произвести настройки, если они не были произведены программой.

Рис. 6.48. Окно Автозаполнение

Первоначально параметры заполняются автоматически при первом запуске программы ViPNet Координатор [Монитор]. Если эти параметры были изменены в процессе работы или в конфигурации добавлен (отключен) сетевой интерфейс, то параметры автозаполнения можно вновь установить автоматически, нажав кнопку Настроить автоматически.

После автоматической настройки кнопка Настроить автоматическибудет недоступна до тех пор пока не изменятся какие-либо настройки. Если автонастройки произведены с помощью кнопки Настроить автоматически, то для сохранения настроек нужно нажать кнопку Применить.

Автоматическая настройка параметров автозаполнения произойдет только в случае выполнения следующих условий – количество сетевых интерфейсов на ViPNet Координатор [Монитор] равно двум и на каждом сетевом интерфейсе зарегистрировано по одному адресу, один из которых частный, другой реальный.

В этом случае параметры автозаполнения в окне Автозаполнение следующие:

- опция Использовать автозаполнение включена;

- сетевой интерфейс с частным адресом будет считаться внутренним и отобразится в разделе Внутренняя сеть:

- в поле Сетевой интерфейс отобразится системное имя внутреннего интерфейса,

- в поле IP-адреса локальной сети отобразится диапазон адресов соответствующий IP-адресу и маске внутренней сети.

- сетевой интерфейс с реальным адресом будет считаться внешним и отобразится в разделе Внешняя сеть:

- в поле Сетевой интерфейс отобразится системное имя внешнего интерфейса,

- в поле IP-адрес отобразится адрес внешнего сетевого интерфейса.

Если указанные выше условия не выполнены (т.е. конфигурация компьютера нестандартная), то автонастройки не произведутся, опция Использовать автозаполнение будет отключена, а поля всех остальных параметров останутся пустыми.

Если при первом запуске программы ViPNet Координатор [Монитор] автонастройки не произвелись, то при создании самого первого правила трансляции в окне Трансляция адресов, появится сообщение об этом с предложением произвести настройки вручную.

Если после нажатия кнопки Настроить автоматически программа не смогла произвести автонастройки, то также появится соответствующее сообщение и будет предложено произвести настройки вручную (Рис. 6.49.).

Рис. 6.49. Предложение произвести настройки вручную

Ручные настройки окна Автозаполнение могут быть произведены, если включена опция Использовать автозаполнение.

В разделе Внутренняя сеть:

- в поле Сетевой интерфейс выбрать сетевой интерфейс, обеспечивающий соединение с внутренней сетью,

 

Замечание: Выпадающий список поля Сетевой интерфейс отображает все сетевые интерфейсы компьютера, распознанные программой ViPNet Координатор [Монитор].

 

- в поле IP-адреса локальной сети отобразится диапазон адресов, соответствующих IP-адресу и маске внутренней сети. При необходимости можно вручную добавлять или изменять адреса внутренней сети при помощи кнопок Добавить…, Изменить… и Удалить.

В разделе Внешняя сеть:

- в поле Сетевой интерфейс выбрать сетевой интерфейс, обеспечивающий соединение с внешней сетью,

- в поле IP-адрес отобразится адрес внешнего сетевого интерфейса.

При настройке следует учитывать следующие правила:

- Если на сетевом интерфейсе, который выбран в поле Сетевой интерфейс для внутренней или внешней сети, зарегистрировано более одного IP-адреса, то поле адресов останется пустым.

- При попытке выбора в обоих полях Сетевой интерфейс (для внутренней и внешней сети) одного и того же сетевого интерфейса в неактивном поле Сетевой интерфейс автоматически выберется пункт Не выбран.

После задания всех параметров для сохранения необходимо нажать кнопку Применить. Если настройки выполнены корректно, то они сохранятся, иначе – появится сообщение о некорректности настроек с указанием возможной причины. Для отмены настроек нажать кнопку Отменить.

 

Задание:

Необходимо настроить работу в защищенном режиме двух компьютеров без ПО ViPNet, расположенных в разных локальных сетях (0).

Условия построения защищенной связи:

В состав VPN-сети входят следующие компоненты (0):

VPN-подсеть Главного Офиса – локальная сеть 192.168.1.х:

· Администратор защищенной сети;

· Сервер-Маршрутизатор [Координатор-1];

· Клиенты (от 1-1 до 1-N);

· Незащищенный компьютер-1.

VPN-подсеть Филиала – локальная сеть 192.168.2.х:

· Сервер-Маршрутизатор [Координатор-2];

· Клиенты (от 2-1 до 2-M);

· Незащищенный компьютер-2.

На компьютерах с ПО ViPNet [Координатор] должно быть установлено число сетевых карт, соответствующих числу разделяемых сетей. Сами координаторы будут выполнять роли шлюзов, каждый для своей сети. На каждой сетевой карте Координаторов должна быть настроена политика безопасности:

- На внешних сетевых интерфейсах Координатора-1 и Координатора-2 установить 1 режим безопасности (блокировать открытый IP-трафик).

- На внутренних сетевых интерфейсах Координатора-1 и Координатора-2 установить 2 режим безопасности (разрешить зарегистрированный открытый IP-трафик).

Сетевые Узлы (Координаторы и Клиенты) локальных сетей должны быть связаны друг с другом на уровне Типов Коллективов (в ЦУСе).

Для туннелирования незащищенных компьютеров (открытых ресурсов) данной VPN-сети Координатор-1 и Координатор-2 необходимо зарегистрировать в ЦУСе в Прикладной Задаче Туннель и выдать каждому из Координаторов необходимое количество туннельных лицензий (в соответствии с данным заданием по одной лицензии).

Для надежной работы локальных сетей необходимо осуществить настройку следующих параметров:

Проверить часовой пояс, дату и время на компьютерах (необходимо внимательно отнестись к настройкам данных параметров!).

Задать IP-адреса и IP-адреса шлюзов по умолчанию для открытых ресурсов, на которых не будет устанавливаться ПО ViPNet, но которые входят в состав локальной сети.

В качестве IP-адресов шлюза по умолчанию для Клиентов указываются IP-адреса внутренних сетевых интерфейсов компьютеров, на которых будут установлены соответствующие Координаторы:

· в локальной сети Главного офиса IP-адрес шлюза по умолчанию - 192.168.1.1 (IP-адрес внутреннего сетевого интерфейса Координатора-1);

· в локальной сети Филиала IP-адрес шлюза по умолчанию - 192.168.2.1 (IP-адрес внутреннего сетевого интерфейса Координатора-2).

Рис. 6.50. Защищенная VPN-сеть организации

На компьютерах, на которых будет установлено ПО ViPNet [Координатор], в соответствии со схемой, изображенной на 0 нужно сделать следующие настройки:

Координатор-1 должен быть установлен на двухкарточном компьютере с IP-адресами:

- «внешняя» сетевая карта - IP-адрес 200.200.1.1, маска подсети 255.255.255.0;

- «внутренняя» сетевая карта - IP-адрес 192.168.1.1, маска подсети 255.255.255.0.

Координатор-2 должен быть установлен на двухкарточном компьютере с IP-адресами:

- «внешняя» сетевая карта - IP-адрес 200.200.1.2, маска подсети 255.255.255.0;

- «внутренняя» сетевая карта - IP-адрес 192.168.2.1, маска подсети 255.255.255.0.

IP-адреса шлюзов по умолчанию для Координатора-1 и Координатора-2 настраиваются 0следующим образом:

- на внутренних интерфейсах Координатора-1 и Координатора-2 не требуется указывать IP-адрес шлюза по умолчанию;

- на внешнем интерфейсе Координатора-1 в качестве IP-адреса шлюза по умолчанию указывается IP-адрес внешнего интерфейса Координатора-2 – это 200.200.1.2;

- на внешнем интерфейсе Координатора-2 в качестве IP-адреса шлюза по умолчанию указывается IP-адрес внешнего интерфейса Координатора-1 – это 200.200.1.1.

Аналогичным образом настраиваются IP-адреса и IP-адреса шлюзов по умолчанию открытых ресурсов, на которых не будет устанавливаться ПО ViPNet:

Незащищенный компьютер-1 локальной сети Главного офиса:

- IP-адрес – 192.168.1.3;

- маска подсети – 255.255.255.0;

- IP-адрес шлюза по умолчанию - 192.168.1.1 (IP-адрес внутреннего сетевого интерфейса Координатора-1).

Незащищенный компьютер-2 локальной сети Филиала:

- IP-адрес – 192.168.2.2;

- маска подсети – 255.255.255.0;

- IP-адрес шлюза по умолчанию - 192.168.2.1 (IP-адрес внутреннего сетевого интерфейса Координатора-2).

Развертывание VPN-сети и настройка СУ для совместной работы

После того, как оба Координатора установлены, для развертывания защищенной сети необходимо установить ПО ViPNet [Клиент] на компьютеры с IP-адресами в соответствии с 0.

В результате есть защищенная сеть, в которой имеются два защищенных сегмента – VPN-сеть Главного офиса и VPN-сеть Филиала.

В каждом защищенном сегменте имеется по одному открытому ресурсу:

незащищенный компьютер с IP-адресом 192.168.1.3 в сегменте Главного Офиса;

незащищенный компьютер с IP-адресом 192.168.2.2 в сегменте Филиала.







Дата добавления: 2014-11-10; просмотров: 1984. Нарушение авторских прав


Рекомендуемые страницы:


Studopedia.info - Студопедия - 2014-2020 год . (0.087 сек.) русская версия | украинская версия