Введение
Виртуальная частная сеть (Virtual Private Network, VPN) является расширением частной сети, позволяя выполнять подключения через общедоступные сети, такие как Интернет. VPN-подключения между маршрутизаторами позволяют компьютерам получить безопасный доступ к узлам организации через сеть Интернет. Этот документ описывает различные компоненты и выбор плана развертывания VPN-подключений между маршрутизаторами с использованием VPN-серверов под управлением операционной системы Windows 2000. В этом документе содержатся подробные инструкции по развертыванию виртуальных частных сетей "маршрутизатор-маршрутизатор", основанных на протоколах PPTP (Point-to-Point Tunneling Protocol) и L2TP (Layer Two Tunneling Protocol), информация о настройке брандмауэра, подробности работы с сервисными утилитами и способы решения типичных проблем. Этот документ предполагает знакомство со стеком протоколов TCP/IP, IP-маршрутизацией, протоколом защиты сетевого трафика на IP-уровне (IPSec) и возможностями службы маршрутизации и удаленного доступа Windows 2000 (Windows 2000 Routing and Remote Access service).
Виртуальная частная сеть является расширением частной сети, позволяя выполнять подключение через общедоступные сети, такие как Интернет. С помощью VPN Вы можете передавать данные между двумя компьютерами через общедоступные сети с имитацией частного подключения "точка-точка" (как например глобальная сеть передачи данных на дальние расстояния (WAN), основанная на системе передачи информации T-Carrier).
Для имитации связи "точка-точка" данные группируются (инкапсулируются) в пакеты с добавлением заголовка, содержащего сведения о маршрутизации, которые позволяют передаваемым данным достичь точки назначения в процессе передачи через общедоступную сеть. Кроме того, для имитации связи "точка-точка" данные шифруются в целях безопасности. Пакеты, которые могут быть перехвачены в общедоступной сети, невозможно расшифровать, не имея ключей шифрования. Соединение, в котором частные данные инкапсулированы и зашифрованы, называется виртуальным частным подключением (VPN-подключением).
На Рисунке 1 представлен логический эквивалент VPN-подключения.
Рисунок 1 – Логический эквивалент VPN-подключения
Пользователи, которые работают дома или находятся в дороге, могут применять VPN-подключения для удаленного соединения с сервером организации, используя инфраструктуру общедоступной сети, такой как Интернет. С точки зрения пользователя VPN-подключение выглядит как прямое соединение "точка-точка" между его компьютером (VPN-клиентом) и сервером организации (VPN-сервером). Конкретная инфраструктура общедоступной сети значения не имеет, поскольку логически данные передаются через выделенное частное подключение.
Организации могут также использовать VPN-подключения для осуществления соединений между маршрутизаторами географически разделенных подразделений или других организаций через общедоступные сети, сохраняя защищенность связи. VPN-подключения между маршрутизаторами через Интернет логически функционируют как выделенные подключения через глобальную сеть (выделенные WAN-подключения).
Удаленный доступ и подключения между маршрутизаторами позволяют организациям использовать локальные коммутируемые или выделенные линии для соединения с поставщиком услуг Интернета, позволяя тем самым организовать VPN-подключения и избавиться от удаленных коммутируемых или выделенных соединений.
В операционной системе Windows® 2000 существует два типа технологий VPN-подключений между маршрутизаторами на основе протокола PPP:
- Протокол PPTP (Point-to-Point Tunneling Protocol).
PPTP использует методы проверки подлинности на уровне пользователей на основе протокола PPP (Point-to-Point Protocol), а также шифрование данных на основе MPPE (Microsoft Point-to-Point Encryption).
- Протокол L2TP (Layer Two Tunneling Protocol) с поддержкой IPSec (Internet Protocol security).
L2TP с поддержкой IPSec (L2TP/IPSec) использует методы проверки подлинности на уровне пользователей на основе протокола PPP, а также протокол IPSec для проверки подлинности на уровне компьютера, используя сертификаты и производя проверку и шифрование данных, обеспечивая их целостность и сохранность.
Примечание
Использование туннельного режима IPSec для VPN-подключений между маршрутизаторами возможно только на компьютерах под управлением ОС Windows 2000 Server. Поскольку туннель IPSec не является логическим интерфейсом для пересылки и получения пакетов данных, протоколы маршрутизации не будут работать через туннели IPSec. Так как конфигурирование туннелей IPSec для VPN-подключений между маршрутизаторами имеет существенные отличия, оно не рассматривается в этой статье. Для получения дополнительной информации смотрите Q252735, Конфигурирование туннелирования IPSec в Windows 2000 (EN) в Базе знаний Майкрософт.
Для шифрования данных Вы можете использовать канальное шифрование, а также шифрование "узел-узел" в качестве дополнения.
- Канальное шифрование обеспечивает шифрование данных только в канале между маршрутизаторами. Для PPTP-подключений Вы должны использовать шифрование MPPE в сочетании с протоколами аутентификации MS-CHAP, MS-CHAP v2, или EAP-TLS. Для подключений L2TP/IPSec шифрование в канале между маршрутизаторами обеспечивает протокол IPSec.
- Шифрование "узел-узел" обеспечивает шифрование данных между начальным и конечным узлом. Вы можете использовать протокол IPSec после создания VPN-подключения между маршрутизаторами для шифрования данных между начальным и конечным узлами.