From: xf0r3m Date: Fri, 29 Nov 2024 12:16:36 +0000 (+0100) Subject: Rozpoczęcia i zakończenie redagowania rozdziału 8, modułu 3, kursu CCNA. X-Git-Url: https://gitweb.morketsmerke.org/?a=commitdiff_plain;h=686569d488de77ec0208191bcaeaeb948712b765;p=mmdev.git Rozpoczęcia i zakończenie redagowania rozdziału 8, modułu 3, kursu CCNA. --- diff --git a/articles/terminallog/Cisco_-_CCNA.html b/articles/terminallog/Cisco_-_CCNA.html index a2119e0..7db3ab7 100755 --- a/articles/terminallog/Cisco_-_CCNA.html +++ b/articles/terminallog/Cisco_-_CCNA.html @@ -15057,7 +15057,8 @@ Dynamic mappings: wirtualne sieci prytwane - VPN. Sieci tego typu są alternatywą dla drogich lączy dzierżawionych, ponieważ mogą wirtualnie zapewniać połączenie punkt-punkt. Sieci VPN zazwyczaj - szyfrują swój ruch. Chociaż instnieją rodzaje tuneli, które formalnie + szyfrują swój ruch. Chociaż instnieją rodzaje tuneli (połączenia, + wewnątrz innego połączenia), które formalnie są VPN, ale nie zapewniają tej warstwy szyfrowania. Korzyści jakie płyną ze stosowania VPN to:

@@ -15072,8 +15073,8 @@ Dynamic mappings: naszych potrzeb. Jeśli będziemy łączyć oddziały w firmie, to wybierzemy podejscie Site-to-site, gdzie tunel rozpoczyna się i kończy na routerach. Klienci nie są swiadomi tego, - że ich ruch jest tunelowany (przechodzi przez wirtualne połączenie - punkt-punkt). Drugim podejściem jest dostęp zdalny + że ich ruch jest tunelowany (pakiety IP, są przesyłane wewnątrz innej + transmisji IP). Drugim podejściem jest dostęp zdalny gdzie np. pracownicy pracują zdalnie i powinni korzystać z tunelu w trakcie pracy lub w momencie gdy potrzebują dostępu do konkretnego zasobu w sieci firmowej. Tunel wówczas jest zestawiany pomiędzy @@ -15101,6 +15102,197 @@ Dynamic mappings: szerokopasmowych zapewniających dostęp do Intenetu. Wspomniane zostały także sieci VPN.

+

3.8. Koncepcje VPN oraz IPSec

+

+ Wirtualne sieci prywatne VPN są obecnie standardem + zapewnienia bezpiecznego zdalnego dostępu do zasobów przedsiębiorstw. + Sieci te wykorzystują publiczną infrastrukturę do przesyłania + szyfrowanych danych. +

+

+ Jeśli mówimy o sieciach VPN, często mamy namyśli szyfrowany tunel. + Istnieje wyjątek od tej reguły. Protokół GRE firmy Cisco jest zwykłym + tunelem sieci IP, nie zapewnia warstwy szyfrowania, służy do + enkapsulowania protokołów IPv4 i IPv6 tworząc tym samym wirtualny + tunel punkt-punkt. +

+

+ W przypadku technologii VPN firmy najczęściej same zajmują się + jej wdrażaniem wśród pracowników czy między oddziałami firmy, wówczas + do wyboru dla połączeń lokacja-lokacja mamy takie rozwiązania jak: +

+ +

+ Dla połączeń zdalnego dostępu możemy skorzystać z takich rozwiązań + jak: +

+ +

+ Jeśli firma nie posiada odpowiedniego personelu, który mógłby + wdrożyć usługi VPN może wówczas skorzystać z usług VPN oferowanych + przez usługowdawcę. Tego rodzaju sieci VPN operają się o + protokół MPLS rozszerzając jego działanie na warstwę trzecią. +

+

3.8.2. Rodzaje sieci VPN

+

+ W przypadku zdalnego dostępu, mamy dwie opcje - możemy skorzystać + z przeglądarki (uwierzytelniając się na specjalnie przygotowanej do + tego stronie) zabezpieczając połączenie przy użyciu SSL. Wówczas + mówimy o połączeniu VPN bez klienta, połączenia + wychodzące z przeglądarki są zabezpieczone tego typu tunelem. Ten + tunel działa tylko i wyłącznie dla protokołów obsługiwanych z + przez przeglądarki. +

+

+ Innym rodzajem zdalnego dostępu jest użycie klienta VPN, w przypadku + Cisco jest to program Any Connect Secure Mobilty. + Użytkownicy muszą zainicjować połączenie VPN i uwierzytelnić się + w bramie sieci VPN. Ruch uwierzytelnionych pracowników może być + kierowany do sieci firmowej w celu uzyskania dostępu do jej zasobów. + Oczywiście wszystko zależy od ustawionych tras. Oprogramowanie + klienta szyfruje ruch za pomocą protokolów IPSec lub SSL. +

+

+ Połączenie VPN przy użyciu SSL ma dość duże ograniczenia - jest więc + dość rzadko stosowane. Tunele służące do dostępu zdalnego są + najczęściej realizowane przy użyciu klienta VPN z wykorzystaniem + szyfrowania IPSec. +

+

+ Połączenia między routerami, a co za tym idzie między lokalizacjami, + wykorzystują szyfrowanie IPSec. Tego rodzaju połączenia VPN są + transparentne, użytkownicy sieci lokalnych nawet nie wiedzą, że ich + połączenia są szyfrowane i przekazywane przez tunel, w siedzibie + firmy brama VPN usuwa nagłówki, następnie deszyfruje i przekazuje + pakiet do sieci wewnętrznej. +

+

+ Wadą połączeń VPN z wykorzystaniem szyfrowania IPSec jest zdolność + jedynie do przenoszenia ruchu unicast-wego. Taka zależność + powoduje, że protokoły routingu wykorzystujące adresy + multicast nie bedą mogły działać przez tunel. Rozwiązaniem + tego problemu jest wspomniany już wcześniej protokół GRE, choć tutaj + wadą tego protokołu jest brak warstwy bezpieczeństwa. Nie mniej + jednak możliwe jest umieszczenie wewnatrz tunelu IPSec danych + tunelu GRE. W tej technice używa się nazewnictwa + protokołu transportowego - protokołu faktycznie + używanego do przekazania pakietów, + protokół przewoźnika - protokół używany do noszenia + oryginalnego protokołu, w tym przypadku jest GRE oraz + protokół pasażera - protokół faktycznie niosący + dane, w przypadku protokołów routingu może to byc OSPF. +

+

+ Połączenia lokacja-lokacja sprawdzają się w przypadku gdy oddziałów + jest kilka. Ponieważ bramy VPN oddziałów wymagały statycznej + konfiguracji każdego innego oddziału lub oddziału centralnego. + Rozwiązaniem tego ograniczenia może być użycie technlogii DMVPN, + która działa w technologii Hub-and-spoke. Lokalizacje + są konifigurowane przy użyciu wielopunktowej enkapsulacji generycznej + routingu (mGRE), wiec dodanie nowej lokalizacji wykorzysta tę + samą konfigurację. Natomiast bramy VPN w poszczególnych oddziałach + mogą wykorzystać informacje z lokalizacji centralnej do ustanowienia + tuneli VPN pomiędzy sobą. Technologia DMVPN wykorzystuje tunel + IPSec. +

+

+ Innym uproszczeniem procesu konfigracji obsługi wielu lokalizacji i + zdalnego dostępu jest VTI - interfejs wirtualnego + tunelu IPsec. IPSec VTI może wysyłać i odbierać zaszyfrowanych ruch + zarówno unicast IP jak i multicast dzięki czemu + protokoły routingu są obsługiwane automatycznie i nie ma potrzeby + stosowania GRE. +

+

+ Dostawcy usług MPLS mogą zapewnić klientom zarządzane rozwiązanie + VPN, wówczas za zabezpieczenie ruchu odpowiadać będzie dostawca. + Istnieją dwa rodzaje rozwiązań MPLS VPN: +

+ +

3.8.2. IPsec

+

+ IPsec to standard definiuje sposób zabezpieczenia + VPN w sieciach IP. IPsec chroni i uwierzytelnia pakiety IP między + źródłem a miejscem docelowym. +

+

+ IPsec zapewnia następujące podstawowe funkcje bezpieczeństwa: +

+ +

+ IPsec składa się z pięciu różnych funkcji zabezpieczeń: +

+ +

+ Skojarzenia zabezpieczeń - SA, są podstawowym element składowym + protokołu IPsec. Podczas ustanawiania łącza VPN, urządzenia peerów + muszą wynegocjowawać powyższe parametry, aby mieć zgodne SA. Jeśli + paramety zostaną ustalone wówczas dochodzi do zestawienia tunelu. +

+

3.8. Podsumowanie

+

+ W tym rozdziale zapoznaliśmy się z koncepcjami VPN dowiedzialiśmy + się czym są tak naprawdę wirtualne sieci prywatne. Omówiliśmy ich + rodzaje, w których to używa się protokołu IPsec, który zapewnia + bezpieczeństwo transmisji pakietów w.3. Standard ten tutaj również + został omówiony. Poznaliśmy kilka dodatkowych technologii, + pozwalających lepsze zarządzanie wieloma tunelami typu + lokacja-lokacja. +