Сетевая инфраструктура сайта
Инфраструктура сайта является важным элементом проектирования виртуальной частной сети. Без надлежащего проектирования вызывающие маршрутизаторы не смогут получить необходимые IP-адреса, а пакеты между вызывающими маршрутизаторами и ресурсами внутренней сети не смогут передаваться..
Разрешение имен
Если в сетевых настройках вызывающего маршрутизатора были указаны адреса серверов DNS (Domain Name System) или WINS (Windows Internet Name Service), то во время согласования PPP-подключения эти адреса не будут запрашиваться у отвечающего маршрутизатора. В противном случае адреса серверов DNS или WINS будут запрошены. Отвечающий маршрутизатор никогда не запрашивает у вызывающего маршрутизатора адреса серверов DNS и WINS.
В отличие от клиентов удаленного доступа под управлением Windows 2000 и Windows XP, вызывающий маршрутизатор не посылает сообщения DHCPInform отвечающему маршрутизатору для запроса дополнительной информации о конфигурации TCP/IP..
По умолчанию вызывающий маршрутизатор не регистрируется на серверах DNS или WINS отвечающего маршрутизатора. Чтобы изменить это и включить регистрацию, установите в "1" следующее значение реестра:
HKLM\System\CurrentControlSet\Services\Rasman\PPP\ControlProtocols \BuiltIn\RegisterRoutersWithNameServers
Маршрутизация
Поскольку каждый VPN-маршрутизатор является IP-маршрутизатором, он нуждается в соответствующей настройке. На каждом VPN-маршрутизаторе должны быть заданы маршруты ко всем необходимым сетевым ресурсам. В частности, для каждого VPN-маршрутизатора необходимо настроить следующее:
- Маршрут по умолчанию – маршрут к брандмауэру или маршрутизатору, напрямую подключенному к Интернету. Этот маршрут обеспечивает доступ ко всем ресурсам в Интернете.
- Один или несколько маршрутов к соседним маршрутизаторам сайта, к которому подключен VPN-сервер. Эти маршруты охватывают все адреса сайта и позволяют получить доступ ко всем его ресурсам. Без этих маршрутов невозможно будет получить доступ к узлам сайта, не подключенным непосредственно к той же подсети, что и VPN-сервер.
Чтобы добавить маршрут по умолчанию (маршрут, который обеспечивает выход в Интернет), настройте интерфейс подключения к Интернету, указав для него основной шлюз, и затем вручную настройте внутренний интерфейс, не указывая для него основной шлюз.
Для добавления маршрутов к ресурсам сайта в таблицу маршрутизации каждого VPN-маршрутизатора Вы можете воспользоваться двумя способами:
- Добавить статические маршруты, используя оснастку Маршрутизация и удаленный доступ (Routing and Remote Access). Не обязательно добавлять маршруты к каждой подсети сайта. Достаточно добавить маршруты, которые охватывают все возможные адреса этого сайта. Например, если для нумерации подсетей и узлов используются частные IP-адреса из диапазона 10.0.0.0/8, Вам не нужно добавлять маршруты к каждой подсети. Просто добавьте маршрут для сети 10.0.0.0 с маской 255.0.0.0, ведущий к соседнему маршрутизатору подсети сайта, к которому подключен VPN-сервер.
- Если на Вашем сайте используются протоколы динамической маршрутизации RIP (Routing Information Protocol) или OSPF (Open Shortest Path First), Вы можете добавить и настроить эти протоколы в качестве компонентов службы маршрутизации и удаленного доступа. Таким образом, VPN-маршрутизатор может выступать в качестве динамического маршрутизатора, распространяя информацию маршрутизации.
Если Ваш сайт состоит только из одной подсети, никаких дополнительных настроек не требуется..
После того, как VPN-подключение "маршрутизатор-маршрутизатор" установлено, каждый маршрутизатор передает данные, используя логический интерфейс, соответствующий PPTP- или L2TP-порту. Во время согласования протокола PPP этим логическим интерфейсам могут быть назначены IP-адреса. Доступность логических интерфейсов VPN-маршрутизатора зависит от того, каким образом маршрутизатор получает IP-адреса, которые он затем назначает клиентам удаленного доступа и вызывающим маршрутизаторам. Диапазонами IP-адресов, назначаемых VPN-маршрутизаторам при их подключении, могут быть:
- Диапазон адресов, принадлежащих подсети (on-subnet address range), являющийся диапазоном адресов подсети сайта, к которой подключен VPN-маршрутизатор.
Диапазон адресов, принадлежащих подсети, используется в тех случаях, когда VPN-маршрутизатор получает IP-адреса от DHCP-сервера или когда вручную настроенные пулы IP-адресов принадлежат диапазону адресов присоединенной подсети.
- Диапазон адресов, не принадлежащих подсети (off-subnet address range), являющийся диапазоном адресов отдельной подсети, логически присоединенной к VPN-маршрутизатору.
Диапазон адресов, не принадлежащих подсети, используется всякий раз, когда VPN-маршрутизатор получает IP-адреса из пула адресов отдельной подсети, к которой он не подключен напрямую.