Концентратор доступа по VPN D-LINK DSA-3110. Инструкция на русском языке

ОГЛАВЛЕНИЕ:
ОПИСАНИЕ УСТРОЙСТВА ............................................................... 3
ТИПОВЫЕ СХЕМЫ ПОДКЛЮЧЕНИЯ ................................................. 4
ПРОТОКОЛ PPTP ............................................................................ 5
Обзор протокола РРТР ........................................................... 5
Как работает PPTP ................................................................ 5
ПРОТОКОЛ РРР .............................................................................. 6
Обзор протокола РРР ............................................................. 6
Протокол аутентификации PAP ............................................ 6
Протокол аутентификации CHAP ........................................ 7
Протокол аутентификации MS-CHAPv1 .............................. 7
Протокол аутентификации MS-CHAPv2 .............................. 7
СЕРВЕР RADIUS ........................................................................... 7
СЛУЖБА ПРЕОБРАЗОВАНИЯ СЕТЕВЫХ АДРЕСОВ NAT .................... 8
NETFLOW ....................................................................................... 8
ХАРАКТЕРИСТИКИ DSA-3110 ........................................................ 9
УСТАНОВКА ................................................................................. 10
DSA-3110                                 ВКЛЮЧЕНИЕ  DSA-3110.НАЧАЛО РАБОТЫ С УСТРОЙСТВОМ. ..... 10
ПОДКЛЮЧЕНИЕ К DSA-3110 ЧЕРЕЗ ПОРТ RS-232 . ..................... 10
Концентратор доступа                                      ПОДКЛЮЧЕНИЕ К WEB-ИНТЕРФЕЙСУ .......................................... 11
Руководство пользователя                                             НАСТРОЙКА УСТРОЙСТВА С ПОМОЩЬЮ WEB-ИНТЕРФЕЙСА ...... 12
СЕТЬ ............................................................................................. 12
Настройка сетевых интерфейсов ..................................... 12
Трансляция сетевых адресов ................................................. 16
Сервера имен .......................................................................... 17
СЛУЖБА PPP ................................................................................ 20
Конфигурация сервера PPTP ................................................ 21
Rev. 0.05 (July. 2006)                                            Конфигурация сервера сбора статистики ......................... 22
Настройка сервера RADIUS ................................................. 24
Работа с локальной базой пользователей ........................... 25
СИСТЕМА ..................................................................................... 27
Пароль администратора ...................................................... 27
Конфигурация ......................................................................... 28
RECYCLABLE                                                     Службы ................................................................................... 29
Обновление ПО....................................................................... 30
Системное время ................................................................... 31
2

Описание устройства
Типовые схемы подключения
DSA-3110 представляет собой концентратор доступа по протоколу PPTP для
подключения пользователей к удаленной сети через VPN. Устройство обеспечивает
подключение и авторизацию пользователей, а также выдачу статистики по подключениям       На рисунках представлены типовые схемы применения DSA-3110.
на внешний сервер с использованием технологии NetFlow. DSA-3110 предоставляет
законченное решение, обеспечивающее подключение клиентов к Интернет внутри сетей
провайдеров с выдачей статистики по израсходованному трафику на сервер хранения или
биллинга, а также  подключение мобильных сотрудников к внутренней сети организации                                                Интернет
по безопасному VPN-соединению с возможностью учета производимых
подключившимися пользователями действий.
DSA-3110 совместим с большинством популярных операционных систем,
включая Macintosh, *BSD, UNIX, Linux и Windows, и может быть интегрирован в            Клиент                         DSA-3104          RADIUS - сервер
крупную сеть.
РРТР- туннель
Сеть провайдера
Данные NetFlow
Сервер статистики
Офис провайдера услуг
Рисунок 1. Пример использования DSA-3110 в сетях провайдеров услуг.
Рисунок 2. Пример использования DSA-3110 во внутренней сети компании.
3                                                                                   4

Протокол PPTP
Обзор протокола РРТР                                                                Протокол РРР
Обзор протокола РРР
Протокол  PPTP  (Point  to  Point  Tunneling  Protocol)  –  сетевой  протокол,  который
обеспечивает безопасную передачу пакетов PPP от удаленного клиента серверу доступа к
сети через VPN туннель, созданный на основе сетей TCP/IP.                                Протокол  РРР  (Point-to-Point  Protocol)  используется  для  получения  доступа  к
удаленным  узлам  и  для  связи  между  ними  и  удаленной  локальной  сетью.  РРР
Как работает PPTP                                                                   представляет  собой  стандартный  протокол  инкапсуляции  для  переноса  данных
различных  протоколов  сетевого  уровня  (включая  протокол  IP)  по  последовательным
каналам точка-точка.
PPTP инкапсулирует пакеты для их передачи по IP-сети через туннель, созданный       Протокол также включает в себя механизмы для выполнения следующих действий:
между удаленным клиентом и сервером.
Инкапсуляция  данных  перед  отправкой  в  туннель  включает  два  этапа.  Сначала   ?  Мультиплексирование сетевых протоколов
создается  информационная  часть  PPP.  Данные  проходят  сверху  вниз,  от  прикладного   ?  Проверку качества канала
уровня OSI до канального. Затем полученные данные отправляются вверх по модели OSI     ?  Аутентификацию
и инкапсулируются протоколами верхних уровней.                                         ?  Сжатие заголовков
Таким  образом,  во  время  второго  прохода  данные  достигают  транспортного    ?  Обнаружение ошибок
уровня.  Однако  информация  не  может  быть  отправлена  по  назначению,  так  как  за  это   ?  Согласование параметров канала
отвечает канальный уровень OSI. Поэтому PPTP берет на себя функции второго уровня, т.
е. добавляет к полученному пакету PPP-заголовок (header) и окончание (trailer). На этом   Протокол РРР имеет три основных функциональных компонента:
создание кадра канального уровня заканчивается. Далее, PPTP инкапсулирует PPP-кадр в   ?  Метод  инкапсуляции  дейтаграмм  для  последовательных  каналов,  основанный  на
пакет Generic Routing Encapsulation (GRE), который принадлежит сетевому уровню. GRE      протоколе HDLC.
инкапсулирует протоколы сетевого уровня, например IP, чтобы обеспечить возможность     ?  Протокол управления каналом LCP (Link Control Protocol), который устанавливает,
их передачи по IP-сетям.                                                                 конфигурирует  и  проверяет  соединение  канального  уровня,  а  также  выполняет
После  того  как  кадр  PPP  был  инкапсулирован  в  кадр  с  заголовком  GRE,      аутентификацию.
выполняется  инкапсуляция  в  кадр  с  IP-заголовком.  IP-заголовок  содержит  адреса
?  Протокол  управления  сетью  NCP  (Network  control  Protocol)  устанавливает  и
отправителя  и  получателя  пакета.  На  рисунке  3  показана  структура  данных  для    конфигурирует различные протоколы сетевого уровня.
пересылки по туннелю PPTP.
Протокол аутентификации PAP
При использовании протокола РРР проверка прав доступа вызывающей стороны
может быть выполнена с помощью механизмов аутентификации PAP, CHAP, MS-CHAP
или MS-CHAPv2 .
Рисунок 3. Структура данных для пересылки по туннелю PPTP.                   Протокол РАР. После успешного согласования входящего вызова сторона,
запрашивающая аутентификацию, продолжает посылать свое имя и пароль до тех пор,
Туннелирование позволяет повышать степень защиты данных при их передаче от     пока подтверждающая сторона не ответит подтверждением или пока соединение не будет
удаленного  клиента  серверу  доступа.  Для  этого  применяются  различные  методы   прекращено.  Если подтверждающая сторона определит, что комбинация имени
аутентификации и шифрования.                                                        пользователя и пароля неверна, она может разорвать соединение.
Для  аутентификации  пользователей  PPTP  может  задействовать  любой  из            Для  проверки  того,  что  пара  имя  пользователя/пароль  верна,  подтверждающая
протоколов, применяемых для PPP, включая Microsoft Challenge Handshake Authentication   сторона  просматривает  локальную  базу  данных  пользователей  PAP  (созданную
Protocol (MSCHAP) версии 1 и 2, Challenge Handshake Authentication Protocol (CHAP) и   командами  указания  имени  пользователя  и  пароля)  или  посылает  запрос  на  проверку
Password Authentication Protocol (PAP).                                             аутентификации на сервер безопасности RADIUS.
Для  шифрования  трафика  РРТР  использует  протокол  MPPE  (Microsoft  Point-to-
Point Encryption).                                                                       Внимание: пароли протокола РАР передаются по сети открытым текстом.
MPPE –  это  протокол, разработанный специально для  передачи  зашифрованных
дейтаграмм  по  соединению  точка-точка  (point-to-point).  Он  совместим  только  с     Если  требуется  использовать  более  надежный  метод  контроля  доступа,  то  в
протоколом аутентификации MSCHAP  (версии  1 и  2)  и  умеет  автоматически  выбирать   качестве метода аутентификации следует использовать протокол CHAP.
длину ключа шифрования при согласовании параметров между клиентом и сервером.
MPPE поддерживает работу с ключами длиной 40, 56 или 128 бит. PPTP изменяет
значение  ключа  шифрации  после  каждого  принятого  пакета,  используя  порядковые
номера пакетов.
5                                                                                   6