Безопасность в сетях cisco
CISCO-PPTP client PDF Печать E-mail
Cisco - Безопасность
Автор: barabu   

VPDN означает remote access и циска реализует его на несколько странной модели, общая схема которой представлена на рисунке ниже. NAS – это некий сервер, реализующий для юзера услуги связи – выход в инет, создание туннеля от себя до роутера компании (до ТС'а). ТС – это девайс, терминирующий на себе туннели от NAS'ов для входа в сеть компании.

 

 

Схема cisco pptp

Здесь юзер через PSTN дозванивается до ISP и аутентифицируется на его NAS'е. Затем NAS провайдера должен установить туннель с туннельным сервером, чтобы клиент мог безопасно попасть в свою корпоративную сеть. Итак, получается, что NAS это вовсе не тот сервак, на котором юзер терминирует свой PPTP, более того юзер сам вообще не инициирует создание PPTP туннеля. С точки зрения циски NAS – это машина, которая инициирует создание РРТР туннеля, обращаясь к ТС, т.е. туннель терминируется на ТС. NAS получает «звонок» от юзера (для NAS’а это dialin), затем он обращается к ТС’у c «запросом» создать туннель для трафа этого dialin соединения (request-dialin). NAS расценивает все звонки от своих клиентов как dialin. ТС тоже считает, что dialin – это звонки, поступившие на NAS. Однако, если ТС инициирует создание туннеля в сторону NAS'а, то это для ТС’а dialout, и NAS знает, что dialout – это инициация туннеля ТС’ом. Итак, теперь можно всё свести в единую таблицу, указав команды, которые применяются на NAS’е и ТС’е:

 

 

Команды NAS’а Команды ТС'а
request-dialin: позволяет NAS'у запрашивать ТС'а, чтобы тот поднимал туннель, для трафа dialin звонка, поступившего на NAS.. accept-dialin: позволяет ТС’у поднимать туннель по запросуNAS’а.
accept-dialout: позволяет NAS’у поднимать туннель по запросу ТС’а. request-dialout: позволяет ТС'у запрашивать NAS, чтобы тот поднимал туннель, инициированный ТС'ом

Циска может быть одновременно и NAS'ом и ТС'ом. Функционал каждого типа указывается внутри соответствующей VPDN Group. Эти группы для того и существуют, чтобы определять функционал туннелирования. Согласно документации, циска может инициировать создание только L2TP туннелей, т.е. утверждается, что циска не может быть PPTP-клиентом. Однако благодаря недокументированным функциям сказку можно сделать былью. Ключевой является НЕДОКУМЕНТИРОВАННАЯ команда service internal. Благодаря ей можно создать vpdn-группу с функционалом request-dialin и протоколом pptp !!! Далее весь конфиг.

 

Cisco PPTP CLIENT

R1 R2

service internal

no ip gratuitous-arps [Рекомендуется]

vpdn enable

!

vpdn-group1

request-dialin

protocol pptp

pool-member 15

initiate-to ip 131.1.12.4

 

interface Dialer0

mtu 1450

ip address negotiated

encapsulation ppp

dialer pool 15

dialer idle-timeout 0

dialer string 123 [Надо вроде !!!]

dialer vpdn

dialer-group 11

no cdp enable

ppp pap sent-username r1 password 0 cisco

 

ip route 0.0.0.0 0.0.0.0 Dialer0

ip route 131.1.12.4 255.255.255.255 131.1.88.2

!

!

access-list 105 permit ip any host 150.1.4.4

dialer-list 11 protocol ip list 105

 

aaa new-model

aaa authentication ppp default local

!

username r1 password 0 cisco

 

vpdn enable

!

vpdn-group2

! Default PPTP VPDN group

description "Remote Users Access"

accept-dialin

protocol pptp

virtual-template 2

 

interface Virtual-Template2

mtu 1450

ip address 10.1.1.1 255.255.255.0

peer default ip address pool dialup

ppp authentication pap

!

ip local pool dialup 10.1.1.10 10.1.1.20

!

ip route 0.0.0.0 0.0.0.0 131.1.12.2

ip route 131.1.10.0 255.255.255.0 10.1.1.0

 

[Благодаря последней команде мы можем обращаться

из сети 131.1.10.0.24 в сети за R4. У нас это просто loopback.

Иначе только R1 смог бы ходить в эти сети].

 
R2 R3

 

Ничего не нужно. Для R2 туннелированный траф не виден.

 

ip route 0.0.0.0 0.0.0.0 131.1.10.1

Type escape sequence to abort.

Sending 20, 100-byte ICMP Echos to 150.1.4.4, timeout is 2 seconds:

!!!!!!!!!!!!!!!!!!!!

Success rate is 100 percent (20/20), round-trip min/avg/max = 500/596/636 ms

 

 

 

< Предыдущая   Следующая >
 
Rambler's Top100 ������� ������ �����.RU ��������� ������� ��� ��
rss