Схема сети показана на рис.1. Здесь станции Р2, РЗ и маршрутизатор Cisco представляют обычную часть корпоративной локальной сети, а станции SI, Х2, XI и Р1 - особо защищенную ее часть.
Когда VPN-туннель не создан, станции подсетей 192.168.4.0 и 192.177.1.0 могут взаимодействовать между собой обычным образом. После создания туннеля только станция Х2 получит доступ к защищенной части сети. В то же время она может продолжать взаимодействовать с любыми другими станциями своей подсети 192.168.4.0.
Когда VPN-туннель не создан, станции подсетей 192.168.4.0 и 192.177.1.0 могут взаимодействовать между собой обычным образом. После создания туннеля только станция Х2 получит доступ к защищенной части сети. В то же время она может продолжать взаимодействовать с любыми другими станциями своей подсети 192.168.4.0.
Рис. 1. VPN "клиент-сеть" внутри корпоративной сети
Установка VPN-клиента на Х2 аналогична установке предыдущей задачи за исключением того, что здесь не требуется набирать номер для следующего предварительного подключения.
- Исследуем работу сети до создания VPN-туннеля.
- С помощью ping протестируем со станции Х2 все интерфейсы сети.
- То же сделаем со станции Р2 и РЗ.
- Исследуем детально работу сети после создания VPN-туннеля и убедитесь, что защищенная сеть 192.168.1.0 доступна только со станции Х2.
- Проведем исследование свойств сети, подобное "клиент - сеть" на основе телефонной сети общего пользования и каналов Internet.
Изучим влияние на работу сети фильтров блокировки запрещенного трафика через интерфейс 192.177.1.1.
Как и для пункта меню №7, здесь необходимо настроить два правила фильтра входа и два правила фильтра выхода.
Фильтр входа:
- IP-адрес в сети назначения 192.177.1.1, маска 255.255.255.255, протокол Другой, номер протокола 47 (пример ввода этого правила показан на рис.2);
- IP-адрес в сети назначения 192.177.1.1, маска 255.255.255.255, протокол TCP, порт источника 0 (т.е. любой), порт назначения 1723.
Фильтр выхода:
- IP-адрес в исходной сети 192.177.1.1, маска 255.255.255.255, протокол Другой, номер протокола 47;
- IP-адрес в исходной сети 192.177.1 Л, маска 255.255.255.255, протокол TCP, порт источника 1723, порт назначения 0 (пример ввода этого правила показан на рис.3).
Как и для пункта меню №7, здесь необходимо настроить два правила фильтра входа и два правила фильтра выхода.
Фильтр входа:
- IP-адрес в сети назначения 192.177.1.1, маска 255.255.255.255, протокол Другой, номер протокола 47 (пример ввода этого правила показан на рис.2);
- IP-адрес в сети назначения 192.177.1.1, маска 255.255.255.255, протокол TCP, порт источника 0 (т.е. любой), порт назначения 1723.
Фильтр выхода:
- IP-адрес в исходной сети 192.177.1.1, маска 255.255.255.255, протокол Другой, номер протокола 47;
- IP-адрес в исходной сети 192.177.1 Л, маска 255.255.255.255, протокол TCP, порт источника 1723, порт назначения 0 (пример ввода этого правила показан на рис.3).
Рис. 2.(слева) Пример настройки одного правила фильтра входа
Рис. 3.(справа) Пример настройки одного правила фильтра выхода
После формирования фильтра, Установим указатель Отбрасывать все пакеты, кроме тех, что отвечают указанным критериям, ОК, Применить, ОК.
Матрица доступа (случай 1 - Х2 подключен по сети без VPN)
P2 | Х2 | S1 | Р1 | X1 | Е0/0 | Е0/1 | РЗ | |
P2 | - | + | - | - | - | + | + | + |
Х2 | + | - | - | - | - | + | + | + |
S1 | - | - | - | + | + | - | - | - |
Р1 | - | - | + | - | + | - | - | - |
X1 | - | - | + | + | - | - | - | - |
Е0/0 | + | + | - | - | - | - | + | + |
Е0/1 | + | + | - | - | - | + | - | + |
РЗ | + | + | - | - | - | + | + | - |
Матрица доступа (случай 2 - Х2 подключен по сети VPN)
P2 | Х2 | S1 | Р1 | X1 | Е0/0 | Е0/1 | РЗ | |
P2 | - | + | - | - | - | + | + | + |
Х2 | + | - | + | + | + | - | - | - |
S1 | - | - | - | + | + | - | - | - |
Р1 | - | - | + | - | + | - | - | - |
X1 | - | - | + | + | - | - | - | - |
Е0/0 | + | + | - | - | - | - | + | + |
Е0/1 | + | + | - | - | - | + | - | + |
РЗ | + | + | - | - | - | + | + | - |
