Служба маршрутизации и удаленного доступа


Настройка VPN - часть 2


PPTP

При установке RAS автоматически включаются пять портов PPTP. Они используются для старых клиентов,которые не поддерживают L2TP. Основными достоинствами PPTP являются его дешевизна и легкость в реализации.

IPSec

IPSec используется для повышения защищенности траффика VPN. Он использует инфраструктуру открытого и закрытого ключей для шифрования и расшифровки траффика, обспечивая защищенность соединения от точки до точки. Существуют два типа тунеллирования IPSec. Первым является комбинация L2TP/IPSec, а вторым - чистое тунеллирование IPSec. Тунеллирование IPSec не рекомендуется для VPN, поскольку он не предусматривает некоторых основных служб, необходимых для удаленных пользователей. IPSec включается в Windows 2000 через политики. Некоторые из них предопределены, но вы можете создавать свои собственные политики. Для этого используйте закладку Local Computer Policy в консоли управления. Политики по умолчанию таковы:

  • Secure server. Машина, выполняющая роль сервера безопасности, всегда пытается согласовать безопасность с клиентом. Если согласование установить невозможно, сервер прекращает отвечать клиенту.
  • Client. Политика клиента заставляет машину запрашивать сервер для установки защищенного соединения. Если сервер не имеет политики сервера, шифрования траффика производиться не будет.
  • Server. Машина с политикой сервера будет пытаться установить защищенное соединение, а если не получится, что траффик будет нешифрованным.

IPSec имеет определенные ограничения, поэтому он всегда должен использоваться в комбинации с L2TP. Основной недостаток IPSec состоит в том, что он не предусматривает аутентификации пользователя. Вместо этого аутентификация делается на базе машин. Это означает отстутствие способа определения того, кто использует машину. Другое ограничение состоит в отстутсвии поддержки NAT и нескольких протоколов.

L2TP

Как и в случае PPTP, при установке Windows 2000 создаются пять портов L2TP. Windows 2000 использует L2TP вместе с IPSec для поддержки VPN, что чам по себе IPSec не может обеспечить. Поскольку пакет L2TP включается в пакет IPSec, это дает преимущества IPSec (защищенная связь, защита релея, целостность данных) плюс аутентификацию пользователя, поддержку нескольких протоколов, назначение адресов.

Управление L2TP производится также в консоли RAS MMC. Не забудьте установить правильное количество портов L2TP. L2TP превосходит традиционный PPTP, поскольку поддерживает несколько туннелей между конечными точками и может работать в любой пакетно-ориентированной сети. Кроме того, аутентификация туннеля, поддерживаемая IPSec, обеспечивает более высокий уровень защиты, чем PPTP.

Конечно, в L2TP/IPSec есть и недостатки. Как уже указывалось, IPSec не поддерживает NAT. Кроме того, старые клиенты не поддерживают L2TP. Это означает, что многие клиенты будут вместо него использовать PPTP. И наконец, L2TP по IPSec является тем решением, которое Microsoft настоятельно советует использовать в Windows 2000.




Начало  Назад  Вперед