Mavzu: Virtual tarmoqlarni tashkil qiluvchi protokollar
O'rnatish va qo'llab-quvvatlashVPN
Download 0.69 Mb.
|
Virtual tarmoqlarni tashkil qiluvchi protokollar
- Bu sahifa navigatsiya:
- Guruch. 6.15.
- Bosqich 2 SA yoki IPSecSA
|
O'rnatish va qo'llab-quvvatlashVPN
Yuqorida aytib o'tilganidek, VPN tunnelini o'rnatish va unga xizmat ko'rsatish ikki bosqichli jarayondir. Birinchi bosqichda (faza) ikkita tugun identifikatsiya qilish usuli, shifrlash algoritmi, xesh algoritmi va Diffie-Hellman guruhi bo'yicha kelishib oladi. Shuningdek, ular bir-birlarini aniqlaydilar. Bularning barchasi uchta shifrlanmagan xabar almashinuvi natijasida sodir bo'lishi mumkin (agressiv rejim deb ataladigan, Agressiv rejimi) yoki shifrlangan identifikatsiya ma'lumotlari almashinuvi bilan oltita xabar (standart rejim, Asosiy rejimi). Asosiy rejimda jo'natuvchi va qabul qiluvchi qurilmalarning barcha konfiguratsiya parametrlarini kelishib olish mumkin, agressiv rejimda esa bu mumkin emas va ba'zi parametrlar (Diffie-Hellman guruhi, shifrlash va autentifikatsiya algoritmlari, PFS) oldindan bo'lishi kerak. -har bir qurilmada bir xil tarzda sozlangan. Biroq, bu rejimda almashinuvlar soni ham, yuborilgan paketlar soni ham kamroq bo'ladi, natijada IPSec sessiyasini o'rnatish uchun kamroq vaqt ketadi. Guruch. 6.15. Standart (a) va agressiv (b) rejimlarida xabarlar Agar operatsiya muvaffaqiyatli yakunlangan bo'lsa, birinchi bosqich SA yaratiladi - Bosqich 1 SA(shuningdek deyiladi IKESA) va jarayon ikkinchi bosqichga o'tadi. Ikkinchi bosqichda asosiy ma'lumotlar yaratiladi, tugunlar foydalaniladigan siyosatga rozi bo'ladi. Tez rejim deb ham ataladigan ushbu rejim 1-bosqichdan farq qiladi, chunki uni faqat 1-bosqichdan keyin, barcha 2-bosqich paketlari shifrlanganda o'rnatish mumkin. Ikkinchi bosqichning to'g'ri bajarilishi tashqi ko'rinishga olib keladi Bosqich 2 SA yoki IPSecSA va buning ustiga tunnelni o'rnatish tugallangan deb hisoblanadi. Birinchidan, paket boshqa tarmoqdagi maqsad manzili bilan tugunga keladi va tugun boshqa tarmoq uchun mas'ul bo'lgan tugun bilan birinchi bosqichni boshlaydi. Aytaylik, tugunlar orasidagi tunnel muvaffaqiyatli o'rnatildi va paketlarni kutmoqda. Biroq, tugunlar bir-birlarini qayta identifikatsiya qilishlari va ma'lum vaqtdan keyin siyosatlarni solishtirishlari kerak. Bu davr Birinchi bosqich umri yoki IKE SA umri deb ataladi. Tugunlar, shuningdek, ikkinchi bosqich yoki IPSec SA muddati deb ataladigan vaqtdan keyin ma'lumotlarni shifrlash uchun kalitni o'zgartirishi kerak. Ikkinchi bosqichning ishlash muddati birinchi bosqichga qaraganda qisqaroq, chunki kalitni tez-tez o'zgartirish kerak. Ikkala tugun uchun ham bir xil umr parametrlarini o'rnatishingiz kerak. Agar buni qilmasangiz, dastlab tunnel muvaffaqiyatli o'rnatilishi mumkin, ammo hayotning birinchi nomuvofiq davridan keyin aloqa uzilib qoladi. Birinchi bosqichning ishlash muddati ikkinchi bosqichga qaraganda kamroq bo'lganda ham muammolar paydo bo'lishi mumkin. Agar ilgari tuzilgan tunnel ishlashni to'xtatsa, tekshirish kerak bo'lgan birinchi narsa - ikkala tugunning ishlash muddati. Shuni ham ta'kidlash kerakki, agar siz tugunlardan birida siyosatni o'zgartirsangiz, o'zgarishlar faqat birinchi bosqichning keyingi boshlanishida kuchga kiradi. O'zgarishlar darhol kuchga kirishi uchun ushbu tunnel uchun SAni SAD ma'lumotlar bazasidan olib tashlashingiz kerak. Bu yangi xavfsizlik siyosati sozlamalari bilan tugunlar o'rtasidagi kelishuvni qayta ko'rib chiqishga majbur qiladi. Ba'zan uskunalar o'rtasida IPSec tunnelini o'rnatishda turli ishlab chiqaruvchilar birinchi bosqichni o'rnatishda parametrlarni muvofiqlashtirish bilan bog'liq qiyinchiliklar mavjud. Mahalliy identifikator kabi parametrga e'tibor berishingiz kerak - bu tunnelning oxirgi nuqtasi (yuboruvchi va qabul qiluvchi) uchun noyob identifikator. Bu, ayniqsa, bir nechta tunnellarni yaratishda va NAT Traversal protokolidan foydalanishda juda muhimdir. Download 0.69 Mb. Do'stlaringiz bilan baham: 
|