TSSLTD

User Tools

Site Tools

Trace: сценарий_применения_межсетевого_экрана настройка_bridge-домена_прозрачного_моста_xconnect часто_задаваемые_вопросы построение_защищенного_соединения
tssltd:постpoeниe_зaщищеннoгo_соединения_клиент-сервер

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
tssltd:постpoeниe_зaщищеннoгo_соединения_клиент-сервер [2022/10/31 15:46] r.krestianinovtssltd:постpoeниe_зaщищеннoгo_соединения_клиент-сервер [2023/11/01 18:50] (current) n.ganenkov
Line 1: Line 1:
 [[tssltd:общие_настройки|Вернуться к оглавлению]] [[tssltd:общие_настройки|Вернуться к оглавлению]]
  
-=== Построение защищенного соединения ===+=== Построение защищенного соединения Клиент-Сервер===
  
 +<WRAP indent> 
 +Для примера используем схему, представленную на рисунке 1. 
  
-Для примера используем схему,представленную на рисунке 1+<WRAP center round box 100%> 
 +{{ :tssltd:vp1.png |}}\\
  
-{{ :tssltd:vp1.png |}} +__//Изобр. 1Схема стенда для построения защищенного соединения.//__ 
-Рисунок – Схема стенда для построения защищенного соединения+</WRAP>
  
 У нас имеется два устройства МКСЗ Diamond VPN/FW. Для создания защищенного соединения необходимо загрузить ключи и сертификаты. Сертификаты должны быть одинаковые, иначе построить соединение не получится. Одно устройство будет  клиентом, другое сервером. Для настройки сервера необходимо зайти в вкладку VPN, VPN туннели, далее нажать на кнопку "добавить туннель". В открывшейся вкладке задать настройки, которые указаны на рисунке 2.  У нас имеется два устройства МКСЗ Diamond VPN/FW. Для создания защищенного соединения необходимо загрузить ключи и сертификаты. Сертификаты должны быть одинаковые, иначе построить соединение не получится. Одно устройство будет  клиентом, другое сервером. Для настройки сервера необходимо зайти в вкладку VPN, VPN туннели, далее нажать на кнопку "добавить туннель". В открывшейся вкладке задать настройки, которые указаны на рисунке 2. 
  
-{{ :tssltd:vp2.png |}} +<WRAP center round box 100%> 
-Рисунок – Настройка сервера+{{ :tssltd:vp2.png |}}\\ 
 + 
 +__//Изобр. 2Настройка сервера.//__ 
 +</WRAP>
  
 Далее перейти на другое устройство и настроить клиент. Необходимо зайти в вкладку VPN, VPN туннели, далее нажать на кнопку "добавить туннель". В открывшейся вкладке задать настройки, которые указаны на рисунке 3.  Далее перейти на другое устройство и настроить клиент. Необходимо зайти в вкладку VPN, VPN туннели, далее нажать на кнопку "добавить туннель". В открывшейся вкладке задать настройки, которые указаны на рисунке 3. 
  
-{{ :tssltd:vp3.png |}} +<WRAP center round box 100%> 
-Рисунок – Настройка клиента+{{ :tssltd:vp3.png |}}\\ 
 + 
 +__//Изобр. 3Настройка клиента.//__ 
 +</WRAP>
  
 Ниже представлена таблица с описанием параметром настройки VPN сервиса. Ниже представлена таблица с описанием параметром настройки VPN сервиса.
  
-{{ :tssltd:vp4.png |}+<WRAP center round box 100%> 
 +{{ tssltd:vp4.png|}
 +</WRAP> 
 + 
 +Чтобы узнать, установилось ли соединение, надо перейти в раздел Журнал событий, журнал VPN. Там показаны события, связанные с VPN соединением. Далее найти тоннель с нашим адресом. Если соединение установилось, то у него в столбце "Сообщение" будет надпись "peer connected"(см. рисунок 4). 
 + 
 +<WRAP center round box 100%> 
 +{{ :tssltd:vpn5.png |}}\\ 
 + 
 +__//Изобр. 4. Просмотр журнала.//__ 
 +</WRAP> 
 + 
 +</WRAP>  
 + 
 +=== Построение защищенного соединения через NAT=== 
 + 
 +<WRAP indent> 
 +При построении защищенного соединения через NAT (как на изобр.5) в <wrap em>МКСЗ «Diamond VPN/FW»</wrap> VPN-туннель строится на 4 уровне через протокол udp, что позволяет не использовать дополнительную инкапсуляцию. Аналогичное решение с использованием IPsec требует дополнительной инкапсуляции и, следовательно, дополнительных ресурсов и расходов. 
 + 
 +<WRAP center round box 100%> 
 +{{ :tssltd:vpn_sample_nat.png |}} 
 + 
 +__//Изобр. 5. VPN-туннель через NAT.//__ 
 +</WRAP> 
 + 
 +</WRAP> 
 + 
 +=== Использование защищенного соединения для передачи multicast трафика === 
 + 
 +<WRAP indent> 
 +Multicast трафик (групповая передача пакетов) необходим для доставки сетевых пакетов группе устройств. Помимо IPTV и пр., подобный тип вещания используются для рассылки служебных сообщений протоколов. Чтобы предотвратить возможность их перехвата, в <wrap em>МКСЗ «Diamond VPN/FW»</wrap> существует возможность передачи такого трафика через защищенное соединение (изобр. 6). 
 + 
 +<WRAP center round box 100%> 
 +{{ :tssltd:vpn_sample_multicast.png |}}\\ 
 + 
 +__//Изобр. 6. Использование защищенного соединения для передачи multicast трафика.//__ 
 +</WRAP> 
 + 
 +<code> 
 +vpn2# show ip ospf neighbor 
 + 
 +Neighbor ID     Pri State           Up Time         Dead Time Address         Interface                        RXmtL RqstL DBsmL 
 +1.1.1.1           1 Full/Backup     3m51s             38.012s 10.0.1.1        vpn1:10.0.1.2                        0         0 
 + 
 +vpn2# show ip ospf route 
 +route        router-info 
 +vpn2# show ip ospf route 
 +============ OSPF network routing table ============ 
 +N    10.0.1.0/30           [10000] area: 0.0.0.0 
 +                           directly attached to vpn1 
 +N    192.168.100.0/24      [10100] area: 0.0.0.0 
 +                           via 10.0.1.1, vpn1 
 + 
 +============ OSPF router routing table ============= 
 + 
 +============ OSPF external routing table =========== 
  
 +vpn2#
 +</code>
  
 +</WRAP> 
  
 +[[tssltd:общие_настройки|Вернуться к оглавлению]]
tssltd/постpoeниe_зaщищеннoгo_соединения_клиент-сервер.1667220407.txt.gz · Last modified: 2022/10/31 15:46 by r.krestianinov
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki