Служба маршрутизации и удаленного доступа

       

Настройка VPN


Установить программное обеспечение VPN на сервере Windows 2000 очень просто. Фактически вы уже сделали 75% работы. При добавлении службы удаленного доступа, Windows 2000 автоматически добавляет поддержку пяти соединений L2TP и пяти соединений PPP. Если вы еще не включили поддержку RAS, вам следует вернуться к разделу "Установка RAS".

В первую очередь убедитесь, что установлены порты. Это можно проверить через консоль RRAS. Нажмите кнопку "Start", выберите Programs, Administrative Tools, Routing and Remote Access. После появления консоли RRAS, вы должны видето свой сервер в левой панели. Дважды щелкните на нем для вызова подробностей. Щелкните правой кнопкой мыши на список "Ports", выберите "Properties"

Здесь вы можете настроить порты и протоколы в соотетствии с вашими требованиями. Удалите неиспользуемые порты. Для настройки отдельного порта для использования с VPN, посветите его и щелкните кнопку Configure. Убедитесь, что установлен флажок Remote Access connections (incoming calls only), и для телефонного номера устройства укажите IP-адрес этого сервера. Клиенты будут подключаться к этому адресу IP используя клиентское программное обеспечение VPN.

Замечание

Публичные адреса IP используются только при соединении с сервером из-за границ вашей сети. Обычно для этого используют технологию сетевой трансляции адресов (NAT), чтобы ваш внутренний IP не был виден во внешнем мире.

В этом окне вы также можете указать максимальное количество портов, доступное для этой службы. Оно основано на максимальном количестве пользователей, поддерживаемое сервером через VPN. Рассчитывая это число, учитывайте задержки в Интернет, другие соединения с вашим RAS-сервером, тип соединения клиента с провайдером (модем, ISDN и т.п.). Учтите, что из-за сложности пакета VPN, производительность может упасть на 10-50 процентов! В основном это вызывается шифрацией/дешифрацией траффика на обоих концах. На линиях T1 это незаметно, но для модемных пользователей падение скорости на 50% неприемлимо. Поэтому всегда старайтесь делать так, чтобы пользователи звонили непосредственно на сервер RAS.


PPTP

При установке RAS автоматически включаются пять портов PPTP. Они используются для старых клиентов,которые не поддерживают L2TP. Основными достоинствами PPTP являются его дешевизна и легкость в реализации.

IPSec

IPSec используется для повышения защищенности траффика VPN. Он использует инфраструктуру открытого и закрытого ключей для шифрования и расшифровки траффика, обспечивая защищенность соединения от точки до точки. Существуют два типа тунеллирования IPSec. Первым является комбинация L2TP/IPSec, а вторым - чистое тунеллирование IPSec. Тунеллирование IPSec не рекомендуется для VPN, поскольку он не предусматривает некоторых основных служб, необходимых для удаленных пользователей. IPSec включается в Windows 2000 через политики. Некоторые из них предопределены, но вы можете создавать свои собственные политики. Для этого используйте закладку Local Computer Policy в консоли управления. Политики по умолчанию таковы:

  • Secure server. Машина, выполняющая роль сервера безопасности, всегда пытается согласовать безопасность с клиентом. Если согласование установить невозможно, сервер прекращает отвечать клиенту.


  • Client. Политика клиента заставляет машину запрашивать сервер для установки защищенного соединения. Если сервер не имеет политики сервера, шифрования траффика производиться не будет.


  • Server. Машина с политикой сервера будет пытаться установить защищенное соединение, а если не получится, что траффик будет нешифрованным.


  • IPSec имеет определенные ограничения, поэтому он всегда должен использоваться в комбинации с L2TP. Основной недостаток IPSec состоит в том, что он не предусматривает аутентификации пользователя. Вместо этого аутентификация делается на базе машин. Это означает отстутствие способа определения того, кто использует машину. Другое ограничение состоит в отстутсвии поддержки NAT и нескольких протоколов.

    L2TP

    Как и в случае PPTP, при установке Windows 2000 создаются пять портов L2TP. Windows 2000 использует L2TP вместе с IPSec для поддержки VPN, что чам по себе IPSec не может обеспечить. Поскольку пакет L2TP включается в пакет IPSec, это дает преимущества IPSec (защищенная связь, защита релея, целостность данных) плюс аутентификацию пользователя, поддержку нескольких протоколов, назначение адресов.

    Управление L2TP производится также в консоли RAS MMC. Не забудьте установить правильное количество портов L2TP. L2TP превосходит традиционный PPTP, поскольку поддерживает несколько туннелей между конечными точками и может работать в любой пакетно-ориентированной сети. Кроме того, аутентификация туннеля, поддерживаемая IPSec, обеспечивает более высокий уровень защиты, чем PPTP.

    Конечно, в L2TP/IPSec есть и недостатки. Как уже указывалось, IPSec не поддерживает NAT. Кроме того, старые клиенты не поддерживают L2TP. Это означает, что многие клиенты будут вместо него использовать PPTP. И наконец, L2TP по IPSec является тем решением, которое Microsoft настоятельно советует использовать в Windows 2000.


    Содержание раздела