Віртуальні приватні мережі з використанням сполучень через комутовані канали з ISP.

           Якщо VPN-сервер і VPN-клієнт безпосередньо сполучені з Internet через постійний WAN-зв’язокЮ наприклад, через канал E1 або Frame Relay, то VPN-сполучення може бути постійним і чинним 24 години на добу. Однак, коли постійний WAN-зв’язок неможливий або непрактичний, то можна сконфігурувати VPN-сполучення на вимогу, використовуючи доступ через комутовані канали до ISP. VPN-сполучення раутер-раутер на вимогу із використанням сполучення до iSP через комутовані канали має два інтерфейси:

q інтерфейс виклику на вимогу для виклику ISP;

q інтерфейс виклику на вимогу для VPN-сполучення раутер-раутер.

Виклик на вимогу VPN-сполучення раутер-раутер автоматично здійснюється, коли трафік, який пересилається крізь VPN-сполучення, приймається раутером у віддаленому офісі.Наприклад, якщо приймається пакет, який повинен маршрутуватися до центрального офісу організації, то раутер віддаленого офісу спочатку використовує зв’язок через комутовані канали, щоб з’єднатися з локальним ISP. Коли Internet-сполучення встановлене, то раутер віддаленого офісу як VPN-клієнт створює VPN-сполучення раутер-раутер з раутером центрального офісу – VPN-сервером.

           Щоб сконфігурувати таке сполучення, у раутері віддаленого офісу необхідно:

q створити інтерфейс виклику на вимогу для Internet-сполучення, сконфігурованого для відповідного обладнання (модему або пристрою ISDN), телефонного номера локального ISP та імені користувача і паролю, які вживаються для доступу до Internet;

q створити інтерфейс виклику на вимогу для VPN-сполучення раутер-раутер із раутером центрального офісу, сконфігурованого для PPTP або L2TP, IP-адреси або імені госта інтерфесу VPN-сервера в центральному офісі для доступу до Internet, імені користувача та паролю, які повинні бути верифіковані VPN-сервером. Ім’я користувача повинне повинне бути узгоджене з іменем інтерфейсу виклику на вимогу у VPN-сервері центрального офісу;

q створити статичний маршрут госта для IP-адреси Internet-інтерфейсу VPN-сервера, який використовує інтерфейс виклику на вимогу для виклику локального ISP.

q створити статичний маршрут або маршрути для ідентифікаторів IP-мережі intranet організації, який використовує VPN-інтерфейс виклику на вимогу.

Щоб сконфігурувати раутер центрального офісу, необхідно:

q створити інтерфейс виклику на вимогу для VPN-сполучення з віддаленим офісом, сконфігурованим для VPN-пристрою (порт PPTP або L2TP). Інтерфейс виклику на вимогу повинен мати те ж ім’я, що й ім’я користувача в мандаті автентифікації, який вживається длястворення VPN-сполучення раутером віддаленого офісу;

q створити статичний маршрут або маршрути для ідентифікатора IP-мережі віддаленого офісу, який використовує VPN-інтерфейс виклику на вимогу.

VPN-сполучення раутер-раутер автоматично ініціюється раутером віддаленого офісу з таким процесом:

q Пакети, призначені до розташування мережевого габа організації від користувача у віддаленому офісі, пересилаються користувачем до раутера віддаленого офісу.

q Раутер віддаленого офісу перевіряє свою таблицю раутінгу і знаходить маршрут до ідентифікатора intranet організації, який використовує VPN-інтерфейс виклику на вимогу.

q Раутер віддаленого офісу перевіряє стан VPN-інтерфейсу виклику на вимогу і встановлює, що він є у від’єднаному стані.

q Раутер віддаленого офісу відновлює конфігурацію VPN-інтерфейсу виклику на вимогу.

q Базуючись на конфігурації VPN-інтерфейсу виклику на вимогу, раутер віддаленого офісу пробує ініціювати VPN-сполучення раутер-раутер за IP-адресою VPN-сервера в Internet.

q Для встановлення VPN мусить бути встановлене або TCP/IP-сполучення (з використанням PPTP), або здійснене узгодження IPSec із VPN-сервером. Створюється пакет встановлення VPN.

q Для пересилання пакету встановлення VPN до раутера організації раутер віддаленого офісу перевіряє свою таблицю раутінгу і знаходить маршрут госта, який вживається для ISP-інтерфейсу виклику на вимогу.

q Раутер віддаленого офісу перевіряє стан ISP-інтерфейсу виклику на вимогу і знаходить його у від’єднаному стані.

q Раутер віддаленого офісу відновлює конфігурацію ISP-інтерфейсу виклику на вимогу.

q Базуючись на конфігурації ISP-інтерфейсу виклику на вимогу, раутер віддаленого офісу використовує модем або ISDN-адаптер для виклику і встановлення сполучення із своїм локальним ISP.

q Коли сполучення із ISP встановлене, то раутер віддаленого офісу висилає пакет встановлення VPN до раутера центрального офісу організації.

q VPN узгоджується між раутерами віддаленого офісу і центрального офісу організації.Раутер віддаленого офісу як частину узгодження висилає мандат автентифікації, який верифікується раутером центрального офісу.

q Раутер центрального офісу перевіряє свої інтерфейси виклику на вимогу і знаходить узгоджений із іменем користувача, висланим для автентифікації, і встановлює інтерфейс у стан з’єднання.

q Раутер віддаленого офісу пересилає пакет через VPN і VPN-сервер пересилає пакет до потрібного intranet-розташування.

4.2. Статичний або динамічний раутінг

           Коли інтерфейс виклику на вимогу створено і здійснено вибір між тимчасовим і постійним сполученнями, то слід вибрати один із таких методів для додавання раутінгової інформації до таблиці раутінгу:

q Для тимчасових сполучень можна вручну додати потрібні статичні маршрути для досягнення мережевих ідентифікаторів у інших офісах. Конфігурування вручну статичних маршрутів придатне для малих впроваджень з малою кількістю маршрутів.

q Для тимчасових сполучень можна використати автостатичні модифікації для періодичної модифікації статичних маршрутів, наявних крізь VPN-сполучення раутер-раутер. Автостатичні маршрути добре працюють для великих впроваджень з великим обсягом раутінгової інформації.

q Для постійних сполучень слід виконати відповідний протокол раутінгу через VPN-сполучення раутер-раутер, трактуючи VPN-сполучення як зв’язок “пункт-пункт”.

Зауважимо, що на відміну від раутінгу для виклику на вимогу з використанням безпосереднього фізичного сполучення, не можна вживати IP-маршруту за замовчуванням, сконфігурованого для VPN-інтерфейсу виклику на вимогу для підсумування всіх intranet-маршрутів, наявних крізь VPN. Оскільки раутер під’єднаний до Internet, слід використати маршрут за замовчуванням для підсумування всіх маршрутів до Internet і сконфігурувати його для використання Internet-інтерфейсу.