D-link DSA-3110 User Manual [ru]

DSA-3110

Концентратор доступа

Руководство пользователя

Rev. 0.05 (July. 2006)

RECYCLABLE

ГЛАВЛЕНИЕ

О

О

ПИСАНИЕ УСТРОЙСТВА

ИПОВЫЕ СХЕМЫ ПОДКЛЮЧЕНИЯ

Т

РОТОКОЛ

П

Обзор протокола РРТР ........................................................... 5

Как работает PPTP ................................................................ 5

РОТОКОЛ

П

Обзор протокола РРР ............................................................. 6

Протокол аутентификации PAP ............................................ 6

Протокол аутентификации CHAP ........................................ 7

Протокол аутентификации MS-CHAPv1 .............................. 7

Протокол аутентификации MS-CHAPv2 .............................. 7

ЕРВЕР

С
С

ЛУЖБА ПРЕОБРАЗОВАНИЯ СЕТЕВЫХ АДРЕСОВ

NETF
Х

АРАКТЕРИСТИКИ

У

СТАНОВКА

В

КЛЮЧЕНИЕ

ОДКЛЮЧЕНИЕ К

П
П

ОДКЛЮЧЕНИЕ К WEB-ИНТЕРФЕЙСУ
АСТРОЙКА УСТРОЙСТВА С ПОМОЩЬЮ

Н

ЕТЬ

С

Настройка сетевых интерфейсов ..................................... 12

Трансляция сетевых адресов ................................................. 16

Сервера имен .......................................................................... 17

С

ЛУЖБА

Конфигурация сервера PPTP ................................................ 21

Конфигурация сервера сбора статистики ......................... 22

Настройка сервера RADIUS ................................................. 24

Работа с локальной базой пользователей ........................... 25

ИСТЕМА

С

Пароль администратора ...................................................... 27

Конфигурация ......................................................................... 28

Службы ................................................................................... 29

Обновление ПО....................................................................... 30

Системное время ................................................................... 31

PPTP ............................................................................ 5

РРР .............................................................................. 6

RADIUS ........................................................................... 7

LOW

....................................................................................... 8

............................................................................................. 12

PPP ................................................................................ 20

..................................................................................... 27

:

............................................................... 3

................................................. 4

NAT .................... 8

DSA-3110 ........................................................ 9

................................................................................. 10

DSA-3110.Н

DSA-3110

АЧАЛО РАБОТЫ С УСТРОЙСТВОМ

ЧЕРЕЗ ПОРТ

RS-232 . ..................... 10

.......................................... 11

ИНТЕРФЕЙСА

WEB-

. ..... 10

...... 12

2

Описание устройства

DSA-3110 представляет собой концентратор доступа по протоколу PPTP для
подключения пользователей к удаленной сети через VPN. Устройство обеспечивает
подключение и авторизацию пользователей, а также выдачу статистики по подключениям
на внешний сервер с использованием технологии NetFlow. DSA-3110 предоставляет
законченное решение, обеспечивающее подключение клиентов к Интернет внутри сетей
провайдеров с выдачей статистики по израсходованному трафику на сервер хранения или
биллинга, а также подключение мобильных сотрудников к внутренней сети организации
по безопасному VPN-соединению с возможностью учета производимых
подключившимися пользователями действий.

DSA-3110 совместим с большинством популярных операционных систем,
включая Macintosh, *BSD, UNIX, Linux и Windows, и может быть интегрирован в
крупную сеть.

Типовые схемы подключения

На рисунках представлены типовые схемы применения DSA-3110.

Интернет

Клиент DSA-3104

РРТР- туннель

Сеть провайдера

Данные NetFlow

Сервер статистики

Офис провайдера услуг

Рисунок 1. Пример использования DSA-3110 в сетях провайдеров услуг.

Рисунок 2. Пример использования DSA-3110 во внутренней сети компании.

RADIUS - сервер

3

4

Протокол PPTP

Обзор протокола РРТР

Протокол PPTP (Point to Point Tunneling Protocol) – сетевой протокол, который
обеспечивает безопасную передачу пакетов PPP от удаленного клиента серверу доступа к
сети через VPN туннель, созданный на основе сетей TCP/IP.

Как работает PPTP

PPTP инкапсулирует пакеты для их передачи по IP-сети через туннель, созданный
между удаленным клиентом и сервером.

Инкапсуляция данных перед отправкой в туннель включает два этапа. Сначала
создается информационная часть PPP. Данные проходят сверху вниз, от прикладного
уровня OSI до канального. Затем полученные данные отправляются вверх по модели OSI
и инкапсулируются протоколами верхних уровней.

Таким образом, во время второго прохода данные достигают транспортного
уровня. Однако информация не может быть отправлена по назначению, так как за это
отвечает канальный уровень OSI. Поэтому PPTP берет на себя функции второго уровня, т.
е. добавляет к полученному пакету PPP-заголовок (header) и окончание (trailer). На этом
создание кадра канального уровня заканчивается. Далее, PPTP инкапсулирует PPP-кадр в
пакет Generic Routing Encapsulation (GRE), который принадлежит сетевому уровню. GRE
инкапсулирует протоколы сетевого уровня, например IP, чтобы обеспечить возможность
их передачи по IP-сетям.

После того как кадр PPP был инкапсулирован в кадр с заголовком GRE,
выполняется инкапсуляция в кадр с IP-заголовком. IP-заголовок содержит адреса
отправителя и получателя пакета. На рисунке 3 показана структура данных для
пересылки по туннелю PPTP.

Рисунок 3. Структура данных для пересылки по туннелю PPTP.

Туннелирование позволяет повышать степень защиты данных при их передаче от
удаленного клиента серверу доступа. Для этого применяются различные методы
аутентификации и шифрования.

Для аутентификации пользователей PPTP может задействовать любой из
протоколов, применяемых для PPP, включая Microsoft Challenge Handshake Authentication

Protocol (MSCHAP) версии 1 и 2, Challenge Handshake Authentication Protocol (CHAP) и
Password Authentication Protocol (PAP).

Для шифрования трафика РРТР использует протокол MPPE (Microsoft Point-to­Point Encryption).

MPPE – это протокол, разработанный специально для передачи зашифрованных
дейтаграмм по соединению точка-точка (point-to-point). Он совместим только с
протоколом аутентификации MSCHAP (версии 1 и 2) и умеет автоматически выбирать
длину ключа шифрования при согласовании параметров между клиентом и сервером.

MPPE поддерживает работу с ключами длиной 40, 56 или 128 бит. PPTP изменяет
значение ключа шифрации после каждого принятого пакета, используя порядковые
номера пакетов.

Протокол РРР

Обзор протокола РРР

Протокол РРР (Point-to-Point Protocol) используется для получения доступа к
удаленным узлам и для связи между ними и удаленной локальной сетью. РРР
представляет собой стандартный протокол инкапсуляции для переноса данных
различных протоколов сетевого уровня (включая протокол IP) по последовательным
каналам точка-точка.

Протокол также включает в себя механизмы для выполнения следующих действий:



Мультиплексирование сетевых протоколов
Проверку качества канала



Аутентификацию




Сжатие заголовков



Обнаружение ошибок



Согласование параметров канала

Протокол РРР имеет три основных функциональных компонента:

Метод инкапсуляции дейтаграмм для последовательных каналов, основанный на



протоколе HDLC.



Протокол управления каналом LCP (Link Control Protocol), который устанавливает,
конфигурирует и проверяет соединение канального уровня, а также выполняет
аутентификацию.
Протокол управления сетью NCP (Network control Protocol) устанавливает и



конфигурирует различные протоколы сетевого уровня.

Протокол аутентификации PAP

При использовании протокола РРР проверка прав доступа вызывающей стороны
может быть выполнена с помощью механизмов аутентификации PAP, CHAP, MS-CHAP
или MS-CHAPv2 .

Протокол РАР. После успешного согласования входящего вызова сторона,
запрашивающая аутентификацию, продолжает посылать свое имя и пароль до тех пор,
пока подтверждающая сторона не ответит подтверждением или пока соединение не будет
прекращено. Если подтверждающая сторона определит, что комбинация имени
пользователя и пароля неверна, она может разорвать соединение.

Для проверки того, что пара имя пользователя/пароль верна, подтверждающая
сторона просматривает локальную базу данных пользователей PAP (созданную
командами указания имени пользователя и пароля) или посылает запрос на проверку
аутентификации на сервер безопасности RADIUS.

Внимание: пароли протокола РАР передаются по сети открытым текстом.

Если требуется использовать более надежный метод контроля доступа, то в
качестве метода аутентификации следует использовать протокол CHAP.

5

6

Протокол аутентификации CHAP

При использовании проверки прав доступа протокола CHAP сервер доступа
после установления канала РРР посылает сообщение-запрос, содержащее случайную
строку на удаленный узел. Удаленный узел отвечает значением, вычисленным на основе
пароля и значения запроса с использованием односторонней хеш-функции (обычно с
помощью алгоритма MD5). Результат отправляется серверу доступа в виде ответного
сообщения вместе с CHAP-именем удаленного узла. Сервер доступа считывает из
ответного сообщение имя узла, находит пароль для этого имени в локальной базе данных
или на сервере RADIUS и подает пароль и первоначальное случайное значение запроса
на хеш-генератор MD5. Вычисленное значение сравнивается с полученным значением и
если величины совпадают, то аутентификация считается успешно завершенной. В
противном случае соединение немедленно прерывается.

Метод CHAP обеспечивает защиту от попытки несанкционированного доступа
посредством использования переменного значения запроса (challenge), который является
уникальным и труднопредсказуемым. Использование повторных запросов каждые две
минуты в сеансе CHAP предназначено для того, чтобы ограничить время возможности
организации вторжений при любой попытке несанкционированного доступа. Сервер
доступа управляет частотой и синхронизацией запросов.

Внимание: пароли CHAP на обеих сторонах линии связи должны быть
идентичными.

Протокол аутентификации MS-CHAPv1

Протокол MS-CHAP v1 является механизмом аутентификации с использованием
шифрования, подобным протоколу CHAP. Как и в протоколе CHAP, сервер доступа
посылает удаленному клиенту случайное значение (challenge). Удаленный клиент должен
отправить ответ, содержащий имя пользователя и хеш, вычисленный на основе значения
запроса, идентификатора сессии и хешированного с помощью хеш-генератора MD4
пароля.

При использовании MS-CHAP v1 совместно с МРРЕ, общие ключи шифрования
(secret) будут генерироваться каждым узлом РРР. Также протокол MS-CHAP v1
обеспечивает набор сообщений, которые позволяют пользователю изменять пароль во
время процесса аутентификации.

Протокол аутентификации MS-CHAPv2

Протокол MS-CHAP v2 обеспечивает повышенный уровень безопасности для
удаленных клиентов. По сравнению с MS-CHAP v1 протокол MS-CHAP v2
предоставляет следующие дополнительные функции безопасности:

Взаимная аутентификация между удаленным клиентом и сервером доступа




Отдельные ключи шифрования, генерируемые для передаваемых и принимаемых
данных



Различные ключи шифрования, основанные на пароле пользователя и случайном
значении (challenge).

Сервер RADIUS

Протокол RADIUS (Remote Authentication Dial-In User Services) был разработан
компанией Livingston Enterprises, Inc как протокол аутентификации (authentication) и
учета (accounting) удаленных клиентов. RADIUS работает на основе модели

клиент/сервер, в которой пользовательская информация передается между сервером и
клиентом RADIUS.

Концентратор доступа выступает в роли клиента RADIUS и отвечает за
взаимодействие с выделенным сервером RADIUS. Он осуществляет пересылку
пользовательской информации серверу RADIUS и ответов сервера удаленным клиентам.
Сервер RADIUS хранит базу данных пользователей, на основании которой клиентам
разрешается или запрещается доступ в сеть, а также ведет учет израсходованных
пользователями ресурсов.

Служба преобразования сетевых адресов NAT

Служба NAT (Network Address Translation) представляет механизм использования
одних и тех же приватных IP-адресов в нескольких внутренних подсетях, уменьшая тем
самым потребность в зарегистрированных IP-адресах.

Устройство, поддерживающее функцию NAT, располагается на границе
внутренней и внешней сети и преобразует внутренние локальные адреса в уникальные
глобальные IP- адреса перед отправкой пакетов во внешнюю сеть. Преобразование,
осуществляемое NAT, может быть статическим или динамическим. Статическое
преобразование происходит в том случае, если пользователь самостоятельно
конфигурирует адреса в таблице соответствий. При этом конкретные внутренние адреса
отображаются в заранее указанные внешние адреса. При динамическом преобразовании
пограничное устройство с функцией NAT настраивается таким образом, чтобы
внутренние адреса преобразовывались во внешние из заранее определенного пула
адресов. Также несколько внутренних узлов сети могут использовать один внешний IP­адрес, позволяя экономить адресное пространство.

NetFlow

NetFlow – это технология сбора статистики о пакетах, проходящих через
маршрутизирующее устройство сети и выдачи ее на внешний коллектор.

NetFlow формирует таблицу потоков для входящих и исходящих IP-пакетов. Поток
NetFlow определяется как ненаправленный поток пакетов между данным источником и
приемником. Источник и приемник определяются с помощью IP-адресов и номеров
портов транспортного уровня.

В частности, поток определяется комбинацией следующих ключевых полей
пакета:

IP-адресом источника



IP-адресом назначения



Номером порта TCP/UDP источника




Номером порта TCP/UDP назначение



Типом протокола 3 уровня



Типом сервиса (ToS)
Входным логическим интерфейсом



Эти семь полей уникально определяют поток. Если пакет отличается от другого
значением хотя бы одного ключевого поля, считается, что этот пакет принадлежит
другому потоку. В потоке также могут присутствовать и другие поля (например, номер
автономной системы) в зависимости от версии экспортной записи (export record),
которую вы конфигурируете. Все потоки хранятся в кэше NetFlow.

Основными компонентами NetFlow являются кэш NetFlow, в котором хранится
информация о потоке IP и NetFlow экспорт (export) или транспортный механизм, который
отсылает данные NetFlow сетевому коллектору.

Для каждого активного потока NetFlow создает запись в кэше (запись о потоке).
Каждая такая запись содержит поля, которые позднее будут экспортированы коллектору.
Для экспорта данных NetFlow использует дейтаграммы UDP.

7

8

Характеристики DSA-3110

Аппаратные характеристики:



Процессор: Intel Xscale 533MHz



64MB RAM
16 MB Flash ROM





7 портов 10/100Base-TX Fast Ethernet



4 независимо конфигурируемых интерфейса 10/100Base-TX



Внешний блок питания 5В 3A



Светодиодные индикаторы питания и состояния подключений к интерфейсам
Консольный порт RS-232



Программное обеспечение:

Базовая операционная система: Linux



Сервер PPTP





Экспорт статистики (акаунтинг) по протоколу NetFlow v.5
NAT



Статическая маршрутизация



Внешний syslog-сервер





Авторизация VPN-подключений: локально или RADIUS
Поддержка до 250 пользователей в локальной базе



Поддержка до 50 одновременных подключений



WEB-интерфейс управления



SSH-сервер



Интерфейс командной строки CLI





Telnet сервис (по умолчанию отключен)



Конфигурация интерфейсов со статическим адресом или DHCP
Многочисленные возможности iptables, ip и других утилит, доступные для настройки



через стандартную командную строку встроенного Linux.

Установка

DSA-3110 обеспечивает возможность конфигурирования на основе Web­интерфейса, что позволяет использовать в качестве станции управления любой
компьютер, оснащенный Web-браузером, независимо от операционной системы, и через
консольное подключения ( читайте об этом подробнее в документеDSA-3110 СLI Guide).

Включение DSA-3110.Начало работы с устройством.

Перед тем, как начать настройку концентратора доступа, необходимо
установить с ним физическое соединение. Для этого потребуется:

1. Компьютер с ОС Linux, *BSD, UNIX, Windows или MacOS

2. Web-браузер с поддержкой JavaScript (Mozilla, Netscape Navigator, Microsoft IE,
Opera...)

3. Кабели Ethernet для подключения к сети (RJ-45)

4. Консольный Кабель RS-232, входящий в комплект к устройству (в случае
консольного подключения)

Далее:

1. Подключите один конец кабеля RJ-45 к любому из портов встроенного коммутатора
(порты 4-7), а другой конец к доступному порту Ethernet компьютера или
коммутатора существующей локальной сети.

2. Подключите адаптер питания, включенный в комплект поставки к устройству и к
сети питания 220В.

Подключение к DSA-3110 через порт RS-232 .

Для того чтобы подключиться порту RS-232 управления устройства, на рабочей

станции необходимо:

 подключить консольный кабель, входящий в комплект устройства, к

свободному COM-порту рабочей станции одним концом и к порту RS­232 устройства DSA-3110 другим концом.

 запустить HyperTerminal или иную терминальную программу, c со

следующими параметрами соединения (Port Settings):

Скорость порта (Bit per second) –115200
Количество бит данных (Data Bits)-8
Контроль четности (Parity) – None
Количество стоп-бит (Stop Bits) - 1
Контроль потока (Flow Control) - None

9

10