Mavzu: Virtual tarmoqlarni tashkil qiluvchi protokollar
Download 0.69 Mb.
|
Virtual tarmoqlarni tashkil qiluvchi protokollar
- Bu sahifa navigatsiya:
- ProtokolNATOtish
|
O'lgantengdoshaniqlash
VPN ishlashi paytida, agar tunnelning so'nggi nuqtalari o'rtasida trafik bo'lmasa yoki masofaviy tugunning dastlabki ma'lumotlari o'zgartirilsa (masalan, dinamik ravishda tayinlangan IP-manzilni o'zgartirsa), tunnel aslida bunday bo'lmagan vaziyat yuzaga kelishi mumkin. , go'yo sharpa tunneliga aylandi. Yaratilgan IPSec tunnelida ma'lumotlar almashinuviga doimiy tayyorlikni ta'minlash uchun IKE mexanizmi (RFC 3706 da tavsiflangan) tunnelning masofaviy tugunidan trafik mavjudligini nazorat qilish imkonini beradi va agar u belgilangan vaqt davomida bo'lmasa, salom xabari yuboriladi (xavfsizlik devorida D-Link "DPD-R-U-THERE" xabarini yuboradi). Agar ma'lum vaqt ichida ushbu xabarga javob bo'lmasa, "DPD tugash vaqti" sozlamalari tomonidan o'rnatilgan D-Link xavfsizlik devorlarida tunnel demontaj qilinadi. Shundan so'ng D-Link xavfsizlik devorlari, "DPD Keep Time" sozlamalari ( guruch. 6.18) avtomatik ravishda tunnelni qayta tiklashga harakat qiling. ProtokolNATO'tish IPsec trafigini boshqa IP protokollari bilan bir xil qoidalarga muvofiq yo'naltirish mumkin, ammo marshrutizator har doim transport sathi protokollariga xos ma'lumotlarni chiqarib ololmasligi sababli IPsec NAT shlyuzlari orqali o'tishi mumkin emas. Yuqorida aytib o'tilganidek, ushbu muammoni hal qilish uchun IETF NAT-T (NAT Traversal) deb nomlangan UDP-da ESP-ni inkapsulyatsiya qilish usulini aniqladi. NAT Traversal protokoli IPSec trafigini qamrab oladi va bir vaqtning o'zida NAT to'g'ri yo'naltiradigan UDP paketlarini yaratadi. Buning uchun NAT-T IPSec paketi oldiga qo'shimcha UDP sarlavhasini joylashtiradi, shunda u butun tarmoq bo'ylab oddiy UDP paketi kabi ko'rib chiqiladi va qabul qiluvchi xost hech qanday yaxlitlik tekshiruvini o'tkazmaydi. Paket belgilangan joyga etib kelganidan so'ng, UDP sarlavhasi o'chiriladi va ma'lumotlar paketi kapsullangan IPSec paketi sifatida o'z yo'lida davom etadi. Shunday qilib, NAT-T mexanizmidan foydalanib, xavfsizlik devori orqali xavfsiz tarmoqlarda IPSec mijozlari va umumiy IPSec xostlari o'rtasida aloqa o'rnatish mumkin. Qabul qiluvchi qurilmada D-Link xavfsizlik devorlarini sozlashda ikkita nuqtaga e'tibor berish kerak: "Remote Network" va "Remote Endpoint" maydonlarida masofaviy jo'natuvchi qurilmaning tarmoq va IP manzilini belgilang. NAT texnologiyasidan foydalangan holda tashabbuskorning (jo'natuvchining) IP-manzilini tarjima qilishga ruxsat berish kerak (3.48-rasm). bir xil pultga ulangan bir nechta tunnel bilan umumiy kalitlardan foydalanilganda xavfsizlik devori bir xil manzilga NAT ko'rsatilgan bo'lsa, mahalliy identifikator har bir tunnel uchun noyob bo'lishini ta'minlash muhimdir. Mahalliy ID biri bo'lishi mumkin: Download 0.69 Mb. Do'stlaringiz bilan baham: 
|