IBM i Verze 7.2. Sí ové technologie Služby vzdáleného přístupu

Transkript

1 IBM i Verze 7.2 Sí ové technologie Služby vzdáleného přístupu

2

3 IBM i Verze 7.2 Sí ové technologie Služby vzdáleného přístupu

4 Poznámka Před použitím těchto informací a produktu, ke kterému se tyto informace vztahují, si přečtěte informace uvedené v části Poznámky na stránce 69. Tento dokument může obsahovat odkazy na licenční interní kód. Licenční interní kód je strojový kód a vy k němu dostáváte licenci na základě podmínek stanovených v Licenční smlouvě pro strojový kód společnosti IBM. Copyright IBM Corporation 1998, 2013.

5 Obsah Služby vzdáleného přístupu Novinky ve verzi IBM i Soubor ve formátu PDF pro téma Služby vzdáleného přístupu Koncepce PPP Co je PPP Profily připojení Podpora zásad skupiny Scénáře: Vzdálený přístup s pomocí připojení PPP... 4 Scénář: Protokoly PPP a DHCP na jednom systému IBM i Scénář: Profil DHCP a PPP na různých modelech IBM i 6 Scénář: Ochrana nepovinného tunelu L2TP pomocí IPSec Scénář: Ochrana nepovinného tunelu L2TP pomocí IPSec Konfigurace sítě VPN v systému A Konfigurace profilu připojení PPP a virtuální linky pro systém A Použití skupiny s dynamicky přiřazeným klíčem l2tptocorp na profil PPP tocorp Konfigurace sítě VPN v systému B Konfigurace profilu připojení PPP a virtuální linky pro systém B Aktivace pravidel paketů Scénář: Připojení systému ke koncentrátoru přístupu PPPoE Scénář: Připojení vzdálených volajících klientů k systému Scénář: Připojení podnikové sítě LAN k Internetu pomocí modemu Scénář: Propojení hlavní podnikové sítě a vzdálené sítě pomocí modemu Scénář: Autentizace telefonických připojení pomocí RADIUS NAS Scénář: Správa přístupu vzdálených uživatelů k prostředkům pomocí zásad skupin a filtrování IP Scénář: Použití L2TP pro sdílení modemu mezi logickými oblastmi Podrobný scénář: Použití L2TP pro sdílení modemu mezi logickými oblastmi Krok 1: Konfigurace profilu terminátoru L2TP pro rozhraní v oblasti, která vlastní modemy.. 34 Krok 2: Konfigurace profilu odesílatele L2TP na Krok 3: Konfigurace profilu pro vzdálené připojení L2TP pro Krok 4: Testování spojení Scénář: Vytvoření telefonického připojení k serveru zařízení Ethernet Plánování PPP Požadavky na software a hardware Alternativy připojení Analogové telefonní linky Podpora L2TP (tunelování) pro připojení PPP.. 41 Nepovinný tunel Model povinného tunelu - příchozí volání Model povinného tunelu - vzdálené vytáčení.. 42 Připojení L2TP s více přechody Podpora PPPoE (DSL) pro připojení PPP Příslušenství pro připojení Modemy Servery zařízení Ethernet Práce s adresou IP Filtrování IP paketů Strategie správy adres IP Autentizace systému CHAP-MD5 (Challenge Handshake Authentication Protocol with MD5) EAP (Extensible Authentication Protocol) PAP (Password Authentication Protocol) Přehled o protokolu RADIUS (Remote Authentication Dial In User Service) Ověřovací seznam Pokyny ohledně šířky pásma - vícenásobné připojení 50 Konfigurace PPP Vytvoření profilu připojení Typ protokolu: PPP nebo SLIP (Serial Line Internet Protocol) Výběry režimu Komutovaná linka Pronajatá linka L2TP (virtuální linka) Linka PPPoE Konfigurace linky Jediná linka Oblast linek Podpora profilů více připojení Konfigurace modemu pro PPP Konfigurace nového modemu Nastavení příkazového řetězce modemu Přiřazení modemu k popisu linky Konfigurace vzdáleného PC Konfigurace přístupu k Internetu přes AT & T Global Network Průvodci připojením Konfigurace zásady přístupu skupiny Použití pravidel filtrování IP na připojení PPP Povolení služeb RADIUS a DHCP pro profily připojení 63 Správa PPP Nastavení vlastností profilů připojení PPP Monitorování aktivity PPP Odstraňování problémů s PPP Informace související se Službami vzdáleného přístupu.. 68 Poznámky Informace o programovacím rozhraní Ochranné známky Ustanovení a podmínky Copyright IBM Corp. 1998, 2013 iii

6 iv IBM i: Služby vzdáleného přístupu

7 Služby vzdáleného přístupu Protokol PPP (point-to-point) je internetový standard pro datové přenosy po sériových linkách. PPP je mezi poskytovateli služeb sítě Internet (ISP) nejpoužívanější protokol. Protokol PPP povoluje jednotlivým počítačům přístup do sítí. Sítě postupně poskytují přístup k Internetu. Systém IBM i zahrnuje podporu TCP/IP PPP jako část své připojitelnosti k dálkové síti (WAN). Připojíte-li vzdálený počítač k platformě IBM i přes protokol PPP, budete si moci vyměňovat data mezi jednotlivými místy. Prostřednictvím PPP mohou vzdálené počítače, které jsou připojeny k systému, přistupovat k prostředkům nebo jiným počítačům, které patří do téže sítě jako váš systém. Systém také můžete nakonfigurovat tak, aby se přes protokol PPP připojoval k Internetu. Průvodce telefonickým připojením v produktu IBM Navigator for i vás provede připojením systému k Internetu nebo k interní síti. Novinky ve verzi IBM i 7.2 Přečtěte si nové nebo významně změněné informace týkající se kolekce témat Služby vzdáleného přístupu: Připojení PPP. Byl přidán nový scénář Navázání telefonického připojení se serverem zařízení Ethernet, který demonstruje, jak pomocí produktu IBM Navigator for i nakonfigurovat profil připojení PPP pro externí server zařízení Ethernet. Informace o změnách a novinkách Technické změny jsou v Informačním centru označeny takto: v Symbol označuje začátek nových nebo změněných informací. v Symbol označuje konec nových nebo změněných informací. V souborech ve formátu PDF se u nových nebo změněných informací můžete setkat na levém okraji s revizními značkami (). Více informací o tom, co je nového a co se změnilo, najdete v tématu Sdělení pro uživatele. Soubor ve formátu PDF pro téma Služby vzdáleného přístupu Soubor ve formátu PDF obsahující tyto informace si můžete zobrazit a vytisknout. Chcete-li zobrazit nebo stáhnout verzi PDF tohoto dokumentu, vyberte odkaz Služby vzdáleného přístupu (Remote Access Services neboli RAS). Uložení souborů ve formátu PDF Chcete-li uložit soubor PDF na pracovní stanici za účelem zobrazení nebo tisku: 1. Klepněte pravým tlačítkem myši na odkaz na PDF ve vašem prohlížeči. 2. Klepněte na volbu pro lokální uložení souboru. 3. Přejděte do adresáře, do kterého chcete soubor PDF uložit. 4. Klepněte na tlačítko Uložit. Copyright IBM Corp. 1998,

8 Stažení programu Adobe Acrobat Reader K prohlížení a tisku souborů ve formátu PDF musíte mít v systému nainstalován program Adobe Reader. Jeho kopii si můžete bezplatně stáhnout z webu společnosti Adobe ( Související odkazy: Informace související se Službami vzdáleného přístupu na stránce 68 Příručky IBM Redbooky a webové stránky obsahují informace související s kolekcí témat týkajících se Služeb vzdáleného přístupu. Kterýkoli z těchto souborů ve formátu PDF si můžete zobrazit a vytisknout. Koncepce PPP PPP můžete používat k připojení platformy IBM i ke vzdáleným sítím, klientským PC, jiným platformám IBM i nebo k poskytovateli služeb sítě Internet (ISP). Chcete-li tento protokol plně využívat, je třeba dobře rozumět jeho možnostem a vědět, jak jej systém IBM i může podporovat. Související odkazy: Informace související se Službami vzdáleného přístupu na stránce 68 Příručky IBM Redbooky a webové stránky obsahují informace související s kolekcí témat týkajících se Služeb vzdáleného přístupu. Kterýkoli z těchto souborů ve formátu PDF si můžete zobrazit a vytisknout. Co je PPP Protokol PPP (point-to-point) je protokol TCP/IP, který se používá pro připojení jednoho počítačového systému k jinému. Počítače používají protokol PPP, ke komunikaci po telefonní síti nebo po Internetu. Připojení PPP existuje tehdy, když se dva systémy fyzicky připojí pomocí telefonní linky. Protokol PPP tedy můžete používat pro připojování jednoho systému k druhému. Například vytvořené připojení PPP mezi pobočkou a ústředím firmy umožňuje oběma systémům přenášet po síti data do druhého systému. Protokol PPP umožňuje schopnost spolupráce systémů mezi softwarovými produkty vzdáleného přístupu od různých výrobců. Rovněž umožňuje, aby více sí ových komunikačních protokolů používalo stejnou fyzickou komunikační linku. Níže uvedené normy RFC (Request for Comment) popisují protokol PPP. Další informace o RFC naleznete na webových stránkách produktu RFC Editor. v RFC-1661 Point-to-Point Protocol v RFC-1662 PPP on HDLC-like framing v RFC-1994 PPP CHAP v RFC-5072 IP Version 6 over PPP Profily připojení Profily připojení PPP definují sadu parametrů a prostředků pro určitá připojení PPP. Můžete spustit profily, které tato nastavení parametrů používají pro vytáčení (vytvoření) NEBO naslouchání (příjem) připojení PPP. Můžete použít dva typy profilů, které vám umožňují definovat sadu charakteristik pro připojení PPP nebo sadu připojení: v Profily připojení odesílatele jsou připojení PPP, která jsou iniciována lokálním systémem a přijata vzdáleným systémem. Pomocí tohoto objektu můžete konfigurovat odchozí připojení. v Profily připojení příjemce jsou připojení PPP iniciovaná vzdáleným systémem a přijatá místním systémem. Pomocí tohoto objektu můžete konfigurovat příchozí připojení. Profil připojení uvádí, jak připojení PPP funguje. Informace v profilu připojení obsahují odpovědi na tyto otázky: v Jaký typ protokolu připojení budete používat? (PPP nebo SLIP (Serial Line Internet Protocol)) 2 IBM i: Služby vzdáleného přístupu

9 v Kontaktuje váš systém jiný počítač tím, že navazuje telefonické připojení (odesílatel)? Čeká váš systém na přijetí volání od jiného systému (příjemce)? v Jakou komunikační linku bude připojení používat? v Jak by měl váš systém určovat, jakou adresu IP použít? v Jak by měl váš systém autentizovat jiný systém? Kam by měl systém ukládat autentizační informace? Profil připojení je logické znázornění následujících atributů připojení: v linka a typ profilu v nastavení s více linkami v vzdálená telefonní čísla a volby vytáčení v ověření v nastavení TCP/IP: adresy IP, směrování a IP filtrování v řízení práce a přizpůsobení komunikace v servery jmen domény Systém ukládá tyto informace o konfiguraci do profilu připojení. Tyto informace poskytují systému kontext nutný k vytvoření připojení PPP k jinému systému. Profil připojení obsahuje následující informace: v Typ protokolu. Můžete si vybrat mezi PPP a SLIP. IBM doporučuje, abyste používali PPP, kdykoli je to možné. v Výběr režimu. Výběr režimu uvádí typ připojení a provozní režim tohoto profilu připojení. Typ připojení. Uvádí typ linky, na které dochází k připojení a to, zda jsou tato připojení vytáčená (odesílatel) nebo přijímaná (příjemce). Můžete si vybrat mezi těmito typy připojení: komutovaná linka pronajatá (vyhrazená) linka L2TP (Layer Two Tunneling Protocol) (virtuální linka) protokol PPP (Point-to-Point Protocol) over Ethernet (PPPoE) (virtuální linka) PPPoE je jediný podporovaný protokol pro profily odesílatele připojení. v Provozní režim. Dostupný provozní režim závisí na typu připojení. Tabulka 1. Dostupné provozní režimy pro profily připojení odesílatele Typ připojení Dostupné provozní režimy Komutovaná linka v vytáčení Pronajatá linka v vytáčení na požádání (pouze vytáčení) v vytáčení na požádání (vyhrazený peer s možností odpovídat) v vytáčení na požádání (umožněný vzdálený peer) iniciátor L2TP v iniciátor PPP přes Ethernet v iniciátor pro více přechodů v vzdálené vytáčení iniciátor Tabulka 2. Dostupné provozní režimy pro profily připojení příjemce Typ připojení Komutovaná linka Pronajatá linka L2TP Dostupné provozní režimy odpově terminátor terminátor (sí ový server) v Konfigurace linky. Uvádí typ služby linky, kterou toto připojení používá. Služby vzdáleného přístupu 3

10 Tyto volby závisí na typu voleného režimu, který vyberete. Pro komutovanou linku a pronajatou linku si můžete vybrat z následujících možností: jediná linka oblast linek Pro všechny jiné typy připojení (pronajatá linka, L2TP, PPPoE) je jako služba linky možná pouze jediná linka. Související odkazy: Požadavky na software a hardware na stránce 39 Prostředí PPP vyžaduje, abyste měli dva nebo více počítačů, které podporují protokol PPP. Jeden z těchto počítačů, platforma IBM i, může být bu odesílatelem, nebo příjemcem. Podpora zásad skupiny S podporou zásad skupiny mohou správci sítě definovat zásady skupin podle uživatelů pro správu prostředků. K určitým uživatelům je možné přiřadit zásady pro řízení přístupu, když se přihlásí k relaci protokolu PPP (Point-to-Point Protocol) nebo L2TP (Layer Two Tunneling Protocol). Uživatelé mohou být identifikováni jako ti, kteří náleží do určité třídy uživatelů. Každá třída má jedinečné zásady, které definují omezení prostředků (například linky povolené v balíku multilink), atributy (například přesměrování IP) a označení, která sada pravidel filtrování paketů IP bude použita. Například s podporou zásad skupiny mohou správci sítě definovat skupinu Work_at_Home, která bude umožňovat úplný přístup do sítě, nebo skupinu Vendor_Workers, která bude mít omezení pro množinu služeb. Související odkazy: Scénář: Připojení systému ke koncentrátoru přístupu PPPoE na stránce 16 Mnoho ISP nabízí vysokorychlostní přístup k Internetu prostřednictvím DSL s použitím protokolu PPPoE (Point-to-Point Protocol over Ethernet). Můžete systém připojit k těmto ISP, které poskytnou širokopásmové připojení, které zachovává výhody protokolu PPP. Scénář: Správa přístupu vzdálených uživatelů k prostředkům pomocí zásad skupin a filtrování IP na stránce 30 Zásady přístupu skupin vymezují skupiny uživatelů pro určité připojení a umožňují vám použít některé běžné atributy připojení a bezpečnostního nastavení na celou skupinu. V kombinaci s filtrováním IP tak můžete povolovat a zamezovat přístup ke konkrétním adresám IP ve vaší síti. Scénáře: Vzdálený přístup s pomocí připojení PPP Tyto scénáře popisují, jak funguje protokol PPP a jak naimplementovat prostředí PPP v síti. Než přistoupíte k plánování a konfiguraci, seznamte se základními koncepcemi PPP pomocí těchto scénářů, které jsou přínosné pro začínající i zkušené uživatele. Související odkazy: Informace související se Službami vzdáleného přístupu na stránce 68 Příručky IBM Redbooky a webové stránky obsahují informace související s kolekcí témat týkajících se Služeb vzdáleného přístupu. Kterýkoli z těchto souborů ve formátu PDF si můžete zobrazit a vytisknout. Scénář: Protokoly PPP a DHCP na jednom systému IBM i Tento scénář vysvětluje, jak nastavit model IBM i jako server DHCP (Dynamic Host Configuration Protocol) pro sí LAN a vzdálené volající klienty. Vzdálení uživatelé, jako například volající klienti, často vyžadují přístup do sítě své firmy. Tito volající klienti mohou získat přístup k modelu IBM i prostřednictvím protokolu PPP. Pro přístup k síti potřebuje volající klient IP informace, stejně jako jakýkoliv přímo připojený sí ový klient. Server IBM i DHCP může volajícímu klientovi PPP informace o adrese IP distribuovat stejně jako v případě jakéhokoliv jiného přímo připojeného klienta. Následující obrázek zobrazuje vzdáleného klienta, který se musí telefonicky připojit do sítě společnosti, aby mohl vyřídit nějakou práci. 4 IBM i: Služby vzdáleného přístupu

11 Obrázek 1. PPP a DHCP na jediném modelu IBM i Aby se mohl vzdálený zaměstnanec úspěšně připojit k síti společnosti, musí model IBM i použít kombinaci Služeb vzdáleného přístupu a DHCP. Služby vzdáleného přístupu (Remote Access Services neboli RAS) umožňují modelu IBM i využívat funkce volání. Pokud je správně nastavena, sdělí server PPP serveru DHCP poté, co klient vytvoří připojení prostřednictvím telefonu, aby klientovi distribuoval informace TCP/IP. V tomto scénáři pokryje zásada jedné podsítě DHCP jak klienty připojující se po síti, tak i volající klienty. Pokud chcete, aby profil PPP odložil distribuci adres IP serverem DHCP, musíte to provést v profilu PPP. V nastavení TCP/IP profilu příjemce připojení musíte nastavit metodu přiřazování vzdálených adres IP z "Pevná" na "DHCP". Chcete-li povolit volajícím klientům, aby komunikovali s ostatními sí ovými klienty, jako například s tiskárnou sítě LAN, musíte také v nastavení TCP/IP tohoto profilu a vlastnostech konfigurace (zásobníku) TCP/IP povolit směrování pomocí IP. Pokud nastavíte směrování pomocí IP pouze v profilu PPP, nebude model IBM i IP pakety předávat. Směrování pomocí IP musíte nastavit pro profil i zásobník. Kromě toho adresa IP lokálního rozhraní v profilu PPP musí být adresou IP, která spadá pod definici podsítě na serveru DHCP. V tomto scénáři musí být adresa IP profilu PPP lokálního rozhraní nastavena na hodnotu Tato adresa také musí být vyloučena z oblasti adres serveru DHCP tak, že není přiřazena některému klientu DHCP. Služby vzdáleného přístupu 5

12 Plánování nastavení DHCP pro klienty na místě a klienty PPP Tabulka 3. Volby globální konfigurace (platí pro všechny klienty obsluhované serverem DHCP) Objekt Volby konfigurace Hodnota Volba 1: maska podsítě Volba 6: server DNS (domain name server) Volba 15: název domény Provádí systém aktualizace DNS? Podporuje systém klienty BOOTP? mycompany.com Ne Ne Tabulka 4. Podsí pro klienty na místě a volající klienty Objekt Jméno podsítě Hodnota MainNetwork Adresy ke spravování Čas pronájmu Volby konfigurace zděděné volby 24 hodin (předvoleno) Volby z globální konfigurace Adresy podsítě, které nejsou přiřazené serverem (Adresa lokálního rozhraní uvedená v Nastavení TCP/IP IPv4 vlastností profilu připojení příjemce v produktu IBM Navigator for i) Ostatní nastavení v Nastavte metodu vzdálených adres IP v profilu příjemce připojení PPP na DHCP. 1. V prostředí produktu IBM Navigator for i prostřednictvím úlohy Služby pro Služby vzdáleného přístupu povolte připojení klienta DHCP WAN k serveru DHCP nebo připojení k převaděči. 2. V prostředí produktu IBM Navigator for i vyberte na stránce Vlastnosti TCP/IP IPv4 Profilu připojení příjemce jako metodu přiřazení adres IP volbu DHCP. v Povolte vzdálenému systému přístup k ostatním sítím ve Vlastnostech TCP/IP IPv4 profilu připojení příjemce v produktu IBM Navigator for i. v V prostředí produktu IBM Navigator for i na stránce Atributy TCP/IP povolte přesměrování datagramu pomocí IP. Scénář: Profil DHCP a PPP na různých modelech IBM i Tento scénář vysvětluje, jak nastavit dva modely IBM i jako sí ový server DHCP a přenosového agenta BOOTP/DHCP pro dvě různé sítě LAN a vzdálené volající klienty. Předchozí scénář, PPP a DHCP na jediném modelu IBM i popisuje, jak použít PPP a DHCP na jediném systému k tomu, aby byl volajícím klientům povolen přístup k síti. A již z důvodu fyzického rozvržení vaší sítě nebo potřeb zabezpečení dat může být vhodnější mít servery PPP a DHCP oddělené nebo mít vyhrazený server PPP bez služeb DHCP. Následující obrázek zobrazuje sí, která má volající klienty, ale zásady PPP a DHCP jsou na jiných serverech. 6 IBM i: Služby vzdáleného přístupu

13 Obrázek 2. Profil PPP a DHCP na různých modelech IBM i Vzdálení klienti pro zadávání dat volají server PPP IBM i. Profil PPP na tomto serveru musí mít aktivní metodu vzdálené adresy IP DHCP tak, jako tomu bylo ve scénáři o PPP a DHCP na jednom serveru IBM i. Profil PPP a nastavení TCP/IP u profilu PPP musí mít funkci směrování IP. Vzhledem k tomu, že se tento server chová jako přenosový agent DHCP, musí být navíc zapnut přenosový agent BOOTP/DHCP. To umožňuje serveru vzdáleného přístupu IBM i předávat pakety DHCPDISCOVER DISCOVER serveru DHCP. Server DHCP bude poté odpovídat a distribuovat informace TCP/IP volajícím klientům prostřednictvím serveru PPP. Server DHCP je zodpovědný za distribuci adres IP oběma sítím a V síti zadávání dat rozdá adresy IP v rozsahu od do bu volajícímu serveru, nebo přímo připojeným klientům. Klienti zadávání dat také potřebují adresu směrovače (volba 3) ke komunikaci s pracovní stanicí a také server IBM i DHCP musí mít povoleno směrování pomocí adres IP. Služby vzdáleného přístupu 7

14 Kromě toho adresa IP lokálního rozhraní v profilu PPP musí být adresou IP, která spadá pod definici podsítě na serveru DHCP. V tomto scénáři musí být adresa profilu lokálního rozhraní PPP Tato adresa také musí být vyloučena z oblasti adres serveru DHCP tak, že není přiřazena některému klientu DHCP. Adresa IP lokálního rozhraní musí být adresa, na kterou server DHCP může zaslat pakety odpovědi. Plánování nastavení DHCP pro DHCP s přenosovým agentem DHCP Tabulka 5. Volby globální konfigurace (platí pro všechny klienty obsluhované serverem DHCP) Objekt Volby konfigurace Hodnota Volba 1: maska podsítě Volba 6: server DNS (domain name server) Volba 15: název domény Provádí systém aktualizace DNS? Podporuje systém klienty BOOTP? mycompany.com Ne Ne Tabulka 6. Podsí pracovní sítě Objekt Jméno podsítě Hodnota WorkNetwork Adresy ke spravování Čas pronájmu Volby konfigurace zděděné volby 24 hodin (předvoleno) Volby z globální konfigurace Adresy podsítě, které nejsou přiřazené serverem žádné Tabulka 7. Podsí sítě pro zadávání dat Objekt Jméno podsítě Hodnota DataEntry Adresy ke spravování Čas pronájmu Volby konfigurace 24 hodin (předvoleno) Volba 3: směrovač zděděné volby Volby z globální konfigurace Adresy podsítě, které nejsou přiřazené serverem (směrovač) (adresa IP lokálního rozhraní klienta vzdáleného zadávání dat) (adresa IP lokálního rozhraní klienta vzdáleného zadávání dat) Jiné nastavení na platformě IBM i, na které jsou provozovány přenosy PPP v Nastavte TCP/IP server přenosového agenta BOOTP/DHCP. Objekt Hodnota Adresa rozhraní Adresa IP serveru, na který jsou přenášeny pakety v Nastavte metodu vzdálených adres IP v profilu příjemce připojení PPP na DHCP. 1. Povolte připojení klienta DHCP WAN k serveru DHCP nebo připojení pro přenos pomocí úlohy Služby pro Služby vzdáleného přístupu v prostředí produktu IBM Navigator for i. 8 IBM i: Služby vzdáleného přístupu

15 2. V prostředí produktu IBM Navigator for i v sekci Vlastnosti nastavení TCP/IP IPv4 profilu připojení příjemce vyberte volbu Použít DHCP pro metodu přiřazení adresy IP. v V prostředí produktu IBM Navigator for i v sekci Vlastnosti nastavení TCP/IP IPv4 profilu připojení příjemce povolte vzdálenému systému přístup k ostatním sítím (přesměrování IP), abyste umožnili vzdáleným klientům komunikovat se sítí Data entry. v V prostředí produktu IBM Navigator for i povolte volbu Přesměrování datagramu pomocí IP, kterou najdete ve volbě Atributy TCP/IP (abyste umožnili vzdáleným klientům komunikovat se sítí Data entry). Scénář: Ochrana nepovinného tunelu L2TP pomocí IPSec V tomto scénáři se naučíte jak nastavit připojení mezi hostitelem pobočky firmy a ústředím firmy, které používá L2TP chráněný protokolem IPSec. Pobočka firmy má dynamicky přiřazenou adresu IP, zatímco ústředí firmy má statickou, globálně směrovatelnou adresu IP. Situace Předpokládejme, že má vaše společnost malou kancelář pobočky v jiném státě. V průběhu libovolného pracovního dne může pobočka vyžadovat přístup k důvěrným informacím o serveru IBM i, které jsou na společném intranetu. V současné době používá vaše společnost pro poskytnutí přístupu k firemní síti pobočce drahou pronajatou linku. Přestože chce vaše společnost i nadále poskytovat zabezpečený přístup k intranetu, chcete snížit náklady spojené s pronajatou linkou. To lze učinit vytvořením nepovinného tunelu L2TP (Layer 2 Tunnel Protocol), který rozšiřuje vaši firemní sí tak, že se bude kancelář pobočky zdát součástí firemní podsítě. Datové přenosy v tunelu L2TP jsou chráněny pomocí VPN. S nepovinným tunelem L2TP vytvoří vzdálená kancelář pobočky tunel přímo k serveru LNS (L2TP network server) firemní sítě. Funkce L2TP Access Concentrator (LAC) jsou umístěny na klientovi. Tunel je transparentní pro ISP (Internet Service Provider) vzdáleného klienta, takže ISP nemusí podporovat L2TP. Pokud si chcete přečíst více o konceptech L2TP, přečtěte si informace uvedené v tématu L2TP (Layer 2 Tunnel Protocol). Důležité: Tento scénář zobrazuje bezpečnostní přenosové brány připojené přímo k Internetu. Brána firewall je zde nepřítomna z důvodu zjednodušení scénáře. Z toho nevyplývá, že by použití brány firewall nebylo nutné. Rizika zabezpečení zvažte při každém připojení k Internetu. Cíle V tomto scénáři se systém kanceláře pobočky připojuje k firemní síti prostřednictvím systému brány s tunelem L2TP chráněným prostřednictvím VPN. Hlavní cíle tohoto scénáře jsou : v Systém kanceláře pobočky vždy iniciuje spojení s kanceláří ústředí. v Systém kanceláře pobočky je jediným systémem v síti kanceláře pobočky, který potřebuje přístup do sítě ústředí. Jinými slovy jeho role v síti kanceláře pobočky je role hostitele, nikoliv brány. v Korporační systém - hostitelský počítač v síti ústředí. Služby vzdáleného přístupu 9

16 Podrobnosti Následující obrázek znázorňuje charakteristiku sítě s tímto scénářem: Systém A v Musí mít přístup k aplikacím TCP/IP ve všech systémech ve firemní síti. v Přijímá dynamicky přidělené adresy IP od svého ISP. v Musí být konfigurován, aby poskytoval podporu L2TP. Systém B v Musí mít přístup k aplikacím TCP/IP na systému A. v Podsí je s maskou Tato podsí představuje datový koncový bod tunelu VPN ve firemní síti. v Připojuje se k Internetu s adresou IP Toto je koncový bod připojení. Systém B tedy provádí správu klíčů a používá IPSec na příchozí a odeslané IP datagramy. Systém B se ke svým podsítím připojuje s adresou IP V podmínkách protokolu L2TP vystupuje Systém A jako iniciátor L2TP, zatímco Systém B vystupuje jako terminátor L2TP. Úlohy konfigurace Za předpokladu, že konfigurace TCP/IP je již vytvořena a funguje, musíte dokončit tyto úlohy: Scénář: Ochrana nepovinného tunelu L2TP pomocí IPSec V tomto scénáři se naučíte jak nastavit připojení mezi hostitelem pobočky firmy a ústředím firmy, které používá L2TP chráněný protokolem IPSec. Pobočka firmy má dynamicky přiřazenou adresu IP, zatímco ústředí firmy má statickou, globálně směrovatelnou adresu IP. Situace Předpokládejme, že má vaše společnost malou kancelář pobočky v jiném státě. V průběhu libovolného pracovního dne může pobočka vyžadovat přístup k důvěrným informacím o serveru IBM i, které jsou na společném intranetu. V současné době používá vaše společnost pro poskytnutí přístupu k firemní síti pobočce drahou pronajatou linku. Přestože chce vaše společnost i nadále poskytovat zabezpečený přístup k intranetu, chcete snížit náklady spojené s 10 IBM i: Služby vzdáleného přístupu

17 pronajatou linkou. To lze učinit vytvořením nepovinného tunelu L2TP (Layer 2 Tunnel Protocol), který rozšiřuje vaši firemní sí tak, že se bude kancelář pobočky zdát součástí firemní podsítě. Datové přenosy v tunelu L2TP jsou chráněny pomocí VPN. S nepovinným tunelem L2TP vytvoří vzdálená kancelář pobočky tunel přímo k serveru LNS (L2TP network server) firemní sítě. Funkce L2TP Access Concentrator (LAC) jsou umístěny na klientovi. Tunel je transparentní pro ISP (Internet Service Provider) vzdáleného klienta, takže ISP nemusí podporovat L2TP. Pokud si chcete přečíst více o konceptech L2TP, přečtěte si informace uvedené v tématu L2TP (Layer 2 Tunnel Protocol). Důležité: Tento scénář zobrazuje bezpečnostní přenosové brány připojené přímo k Internetu. Brána firewall je zde nepřítomna z důvodu zjednodušení scénáře. Z toho nevyplývá, že by použití brány firewall nebylo nutné. Rizika zabezpečení zvažte při každém připojení k Internetu. Cíle V tomto scénáři se systém kanceláře pobočky připojuje k firemní síti prostřednictvím systému brány s tunelem L2TP chráněným prostřednictvím VPN. Hlavní cíle tohoto scénáře jsou : v Systém kanceláře pobočky vždy iniciuje spojení s kanceláří ústředí. v Systém kanceláře pobočky je jediným systémem v síti kanceláře pobočky, který potřebuje přístup do sítě ústředí. Jinými slovy jeho role v síti kanceláře pobočky je role hostitele, nikoliv brány. v Korporační systém - hostitelský počítač v síti ústředí. Podrobnosti Následující obrázek znázorňuje charakteristiku sítě s tímto scénářem: Systém A v Musí mít přístup k aplikacím TCP/IP ve všech systémech ve firemní síti. v Přijímá dynamicky přidělené adresy IP od svého ISP. v Musí být konfigurován, aby poskytoval podporu L2TP. Systém B v Musí mít přístup k aplikacím TCP/IP na systému A. Služby vzdáleného přístupu 11

18 v Podsí je s maskou Tato podsí představuje datový koncový bod tunelu VPN ve firemní síti. v Připojuje se k Internetu s adresou IP Toto je koncový bod připojení. Systém B tedy provádí správu klíčů a používá IPSec na příchozí a odeslané IP datagramy. Systém B se ke svým podsítím připojuje s adresou IP V podmínkách protokolu L2TP vystupuje Systém A jako iniciátor L2TP, zatímco Systém B vystupuje jako terminátor L2TP. Úlohy konfigurace Za předpokladu, že konfigurace TCP/IP je již vytvořena a funguje, musíte dokončit tyto úlohy: Konfigurace sítě VPN v systému A Chcete-li konfigurovat připojení k síti VPN v systému A, prove te následující kroky. Použijte informace z pracovních formulářů a konfigurujte VPN v systému A: 1. Konfigurace zásad IKE (Internet Key Exchange). a. V prostředí produktu IBM Navigator for i rozbalte volby Sí > Zásady IP > Virtuální privátní sítě. b. Klepnutím na volbu Zásady zabezpečení IP otevřete panel Zásady zabezpečení IP. c. Klepněte pravým tlačítkem na Zásady IKE (Internet Key Exchange) a vyberte volbu Nová zásada IKE. d. Na straně Vzdálený server vyberte jako typ identifikátoru Adresa IP verze 4 a potom do pole Adresa IP zadejte e. Na straně Přidružení vyberte volbu Předem nasdílený klíč, chcete-li indikovat že toto připojení používá při autentizaci této zásady připojení předem nasdílený klíč. f. Zadejte předem nasdílený klíč do pole Klíč. S předem nasdíleným klíčem zacházejte jako s heslem. g. Vyberte volbu Identifikátor klíče pro identifikátor typu lokálního klíčového serveru a potom zadejte identifikátor do pole Identifikátor. Zadejte například thisisthekeyid. Uvědomte si, že lokální klíčový server má dynamicky přiřazenou adresu IP, která není předem známa. Systém B používá tento identifikátor k identifikaci systému B, když systém B iniciuje připojení. h. Klepnutím na Přidat na straně Transformy přidejte transformy, které systém A navrhne systému B na ochranu klíče, a zadejte, zda zásada IKE používá ochranu identity při inicializaci vyjednávání fáze 1. i. Na stránce Transformy zásad IKE vyberte jako metodu ověření Předem nasdílený klíč, jako hašovací algoritmus a jako algoritmus PRF volbu SHA a jako šifrovací algoritmus volbu 3DES-CBC. Akceptujte předvolby pro skupinu Diffie-Hellman a pro Ukončit platnost klíčů IKE. j. Klepnutím na tlačítko OK se vra te na stranu Transformy. k. Vyberte volbu Vyjednávání IKE v agresívním režimu (bez ochrany identity). Poznámka: Pokud v konfiguraci používáte zároveň předem nasdílené klíče a vyjednávání v agresívním režimu, vyberte si záhadná hesla, která bude obtížné zachytit při napadení, která snímají slovník. Také se doporučuje, abyste hesla pravidelně měnili. l. Klepnutím na tlačítko OK uložte konfigurace. 2. Konfigurace zásad pro práci s daty a. V prostředí produktu IBM Navigator for i rozbalte volby Sí > Zásady IP > Virtuální privátní sítě. b. Klepnutím na volbu Zásady zabezpečení IP otevřete panel Zásady zabezpečení IP. c. Klepněte pravým tlačítkem myši na volbu Zásady pro práci s daty a vyberte volbu Nová zásada pro práci s daty. d. Na straně Obecné zadejte jméno zásady pro práci s daty. Zadejte například l2tpremoteuser. e. Přejděte na stranu Návrhy. Návrh je kolekce protokolů, které iniciující a odpovídající klíčové servery používají k vytvoření dynamického připojení mezi dvěma koncovými systémy. Můžete používat jednu zásadu pro práci s daty v několika objektech připojení. Ne všechny vzdálené klíčové servery VPN však mají stejné vlastnosti 12 IBM i: Služby vzdáleného přístupu

19 zásad pro práci s daty. Proto můžete k jedné zásadě pro práci s daty přidat několik návrhů. Když vytváříte připojení VPN ke vzdálenému klíčovému serveru, musí být alespoň jeden stejný návrh v zásadě pro práci s daty iniciátora i odpovídající strany. f. Klepnutím na Přidat přidejte zásadu pro práci s daty. g. Chcete-li vybrat režim zapouzdření, vyberte volbu Přenos. h. Zadejte datum ukončení platnosti klíče. i. Klepněte na kartu Transformy. j. Klepnutím na tlačítko Přidat přidejte transform. Transform definuje protokoly, ověřovací algoritmy a šifrovací algoritmy, které tato zásada pro práci s daty používá během fáze 2 vyjednávání IKE. Iniciátor připojení odešle jeden nebo více návrhů zásady pro práci s daty odpovídající straně. Odpovídající strana pak vybere v přidružené zásadě zabezpečení vhodný návrh, aby došlo k dokončení zabezpečeného připojení. k. Klepněte na tlačítko OK, abyste transform uložili. l. Klepnutím na tlačítko OK uložte nové zásady pro práci s daty. 3. Konfigurace skupiny s dynamicky přiřazeným klíčem a. Klepněte na volbu Zabezpečená připojení pod rozhraním VPN. b. Klepněte pravým tlačítkem na Podle skupin a vyberte volbu Nová skupina s dynamicky přiřazeným klíčem. c. Na straně Obecné zadejte jméno skupiny. Zadejte například l2tptocorp. d. Vyberte volbu Chrání lokálně iniciovaný tunel L2TP. e. U systémové role vyberte volbu Oba systémy jako hostitelské. f. Přejděte na stranu Zásada. V rozbalovacím seznamu Metoda pro práci s daty vyberte metodu pro práci s daty l2tpremoteuser, kterou jste vytvořili v kroku Konfigurace metody pro práci s daty. g. Chcete-li, aby všechna připojení k systému B směl iniciovat pouze systém A, vyberte volbu Lokální systém iniciuje připojení. h. Přejděte na stranu Připojení. Vyberte volbu Generovat následující pravidlo filtrování zásad pro tuto skupinu. Klepnutím na Editovat definujete parametry filtru zásad. i. Na straně Filtr zásad - Lokální adresy vyberte jako typ identifikátoru Identifikátor klíče. j. Pro identifikátor vyberte identifikátor klíče thisisthekeyid, který jste definovali v zásadě IKE. k. Přejděte na stanu Filtr zásad - Vzdálené adresy. V rozbalovacím seznamu Typ identifikátoru vyberte volbu Adresa IP verze 4. l. V poli Identifikátor zadejte m. Přejděte na stranu Filtr zásad - Služby. Do polí Lokální port a Vzdálený port zadejte hodnotu Port 1701 je pro protokol L2TP známý port. n. V rozbalovacím seznamu Protokol vyberte volbu UDP. o. Klepnutím na tlačítko OK se vra te na stranu Připojení. p. Přejděte na stranu Rozhraní. Vyberte libovolnou linku nebo profil PPP, pro které bude tato skupina použita. Pro tuto skupinu jste profil PPP ještě nevytvořili. Až ho vytvoříte, musíte upravit vlastnosti této skupiny tak, aby tato skupina byla použita pro profil PPP, který vytvoříte v příštím kroku. q. Klepnutím na tlačítko OK vytvořte skupinu s dynamicky přiřazeným klíčem l2tptocorp. 4. Konfigurace připojení s dynamicky přiřazeným klíčem a. Na panelu Připojení klepněte pravým tlačítkem myši na volbu Podle skupin a vyberte volbu Otevřít. Tím zobrazíte seznam všech skupin s dynamicky přiřazeným klíčem, které jste konfigurovali v systému A. b. Klepněte pravým tlačítkem na l2tptocorp a vyberte volbu Nové připojení s dynamicky přiřazeným klíčem. c. Na straně Obecné zadejte volitelný popis připojení. d. U vzdáleného klíčového serveru vyberte jako typ identifikátoru Adresa IP verze 4. e. V rozbalovacím seznamu Adresa IP vyberte f. Zrušte označení Spustit na vyžádání. g. Přejděte na stranu Lokální adresy. Pro typ identifikátoru vyberte volbu Identifikátor klíče a potom v rozbalovacím seznamu Identifikátor vyberte thisisthekeyid. Služby vzdáleného přístupu 13

20 h. Přejděte na stranu Vzdálené adresy. Jako typ identifikátoru vyberte volbu Adresa IP verze 4. i. V poli Identifikátor zadejte j. Přejděte na stranu Služby. Do polí Lokální port a Vzdálený port zadejte hodnotu Port 1701 je pro protokol L2TP známý port. k. V rozbalovacím seznamu Protokol vyberte volbu UDP. l. Klepnutím na tlačítko OK vytvořte připojení s dynamicky přiřazeným klíčem. Konfigurace profilu připojení PPP a virtuální linky pro systém A Nyní, když je v systému A nakonfigurováno připojení k síti VPN, musíte vytvořit profil PPP pro systém A. K profilu PPP není přiřazena žádná fyzická linka. Používá místo ní virtuální linku. Důvodem je to, že provoz PPP prochází tunelem L2TP, zatímco VPN tunel L2TP chrání. Chcete-li vytvořit profil připojení PPP pro systém A, postupujte takto: 1. V prostředí produktu IBM Navigator for i rozbalte volby Sí > Služby vzdáleného přístupu. 2. Klepněte pravým tlačítkem myši na volbu Profily připojení odesílatele a klepněte na volbu Akce > Nový profil. 3. Na straně Nastavení vyberte typ protokolu PPP. 4. Vyberte režim L2TP (virtuální linka). 5. V rozbalovacím seznamu Provozní režim vyberte volbu Iniciátor na vyžádání (nepovinný tunel). 6. Klepnutím na tlačítko OK přejděte na strany vlastností profilů PPP. 7. Na straně Obecné zadejte jméno, které určuje typ a cíl připojení. V tomto případě zadejte tocorp. Toto jméno nesmí být delší než 10 znaků. 8. Volitelně můžete zadat popis profilu. 9. Přejděte na stranu Připojení. 10. V poli Jméno virtuální linky vyberte v rozbalovacím seznamu hodnotu tocorp. Uvědomte si, že k této lince není přiřazeno žádné fyzické rozhraní. Virtuální linka popisuje mnoho různých charakteristik tohoto profilu PPP, například maximální velikost rámce, informace o autentizaci, jméno lokálního hostitelského systému atd. Otevře se dialog Vlastnosti linky L2TP. 11. Na straně Obecné zadejte popis virtuální linky. 12. Přejděte na stranu Autentizace. 13. V poli Jméno lokálního hostitelského systému zadejte jméno lokálního klíčového serveru SystemA. 14. Klepnutím na tlačítko OK uložte novou virtuální linku a vra te se na stranu Připojení. 15. V poli Adresa vzdáleného koncového systému tunelu zadejte adresu vzdáleného koncového systému tunelu Vyberte volbu Vyžaduje ochranu IPSec a v rozbalovacím seznamu Jméno skupiny připojení vyberte skupinu s dynamicky přiřazeným klíčem l2tptocorp, kterou jste vytvořili v předchozím kroku Konfigurace sítě VPN v systému A na stránce Přejděte na stránku Nastavení TCP/IP IPv V sekci Adresa IP lokálního systému vyberte volbu Přiřazená vzdáleným systémem. 19. V sekci Adresa IP vzdáleného systému vyberte volbu Použít pevnou adresu IP. Zadejte , což je adresa IP vzdáleného systému v podsíti. 20. V sekci Směrování vyberte volbu Definovat další statické přenosové cesty a klepněte na volbu Přenosové cesty. Pokud profil PPP neposkytuje žádné informace o přenosové cestě, pak pro systém A je dosažitelný pouze koncový systém vzdáleného tunelu, ale žádný jiný systém v podsíti Klepnutím na tlačítko Přidat přidejte záznam statické přenosové cesty. 22. Zadejte podsí a masku podsítě , veškerý provoz 10.6.*.* tak bude přesměrován přes tunel L2TP. 23. Klepnutím na tlačítko OK přidejte záznam statické přenosové cesty. 24. Přejděte na stranu Autentizace a nastavte jméno uživatele a heslo pro tento profil PPP. 14 IBM i: Služby vzdáleného přístupu

21 25. V sekci Identifikace lokálního systému vyberte volbu Povolit vzdálenému systému ověřit identitu tohoto systému. 26. V sekci Použít autentizační protokol vyberte volbu Vyžadovat šifrované heslo (CHAP-MD5). V sekci Identifikace lokálního systému vyberte volbu Povolit vzdálenému systému ověřit identitu tohoto systému. 27. Zadejte jméno uživatele SystemA a heslo. 28. Klepnutím na tlačítko OK uložte profil PPP. 29. Opětovným zadáním hesla ho potvr te. Použití skupiny s dynamicky přiřazeným klíčem l2tptocorp na profil PPP tocorp Až dokončíte konfiguraci profilu PPP, musíte se vrátit ke skupině s dynamicky přiřazeným klíčem l2tptocorp, kterou jste vytvořili a přiřadili profilu PPP. Chcete-li přidružit skupinu s dynamicky přiřazeným klíčem k profilu PPP, postupujte takto: 1. V prostředí produktu IBM Navigator for i rozbalte volby Sí > Zásady IP > Virtuální privátní sítě. 2. Klepnutím na volbu Zabezpečené připojení otevřete panel Připojení, klepněte pravým tlačítkem myši na volbu Podle skupin a vyberte volbu Otevřít. 3. Klepněte pravým tlačítkem na skupinu s dynamicky přiřazeným klíčem l2tptocorp a vyberte volbu Vlastnosti. 4. Přejděte na stranu Rozhraní a vyberte volbu Použít tuto skupinu pro profil PPP (tocorp), který jste vytvořili v kroku Konfigurace profilu připojení PPP a virtuální linky pro systém A na stránce Klepnutím na tlačítko OK použijte l2tptocorp na profil PPP tocorp. Konfigurace sítě VPN v systému B Chcete-li konfigurovat připojení VPN v systému B, postupujte stejně jako při konfiguraci připojení VPN v systému A a změňte podle potřeby adresy IP a identifikátory. Než začnete, vezměte v úvahu tyto skutečnosti: v Označte vzdálený klíčový server identifikátorem klíče, který jste zadali pro lokální klíčový server v systému A. Například thisisthekeyid. v Použijte přesně stejný předem nasdílený klíč. v Přesvědčte se, že vaše transformy odpovídají transformům konfigurovaným v systému A, jinak připojení nebudou fungovat. v U skupiny s dynamicky přiřazeným klíčem nepoužívejte volbu Chrání lokálně iniciovaný tunel L2TP na straně Obecné. v Připojení iniciuje vzdálený systém. v Zadejte, že připojení se má spustit na vyžádání. Konfigurace profilu připojení PPP a virtuální linky pro systém B Nyní, když je v systému B nakonfigurováno připojení k síti VPN, musíte vytvořit profil PPP pro systém B. K profilu PPP není přiřazena žádná fyzická linka. Používá místo ní virtuální linku. Důvodem je to, že provoz PPP prochází tunelem L2TP, zatímco VPN tunel L2TP chrání. Chcete-li vytvořit profil připojení PPP pro systém B, postupujte takto: 1. V prostředí produktu IBM Navigator for i rozbalte volby Sí > Služby vzdáleného přístupu. 2. Klepnutím na volbu Profily připojení příjemce otevřete panel Profily připojení příjemce. Pak klepněte na volby Akce > Nový profil. 3. Na straně Nastavení vyberte typ protokolu PPP. 4. Vyberte režim L2TP (virtuální linka). 5. V rozbalovacím seznamu Provozní režim vyberte volbu Terminátor (sí ový server). 6. Klepnutím na tlačítko OK zavřete strany vlastností profilu PPP. 7. Na straně Obecné zadejte jméno, které určuje typ a cíl připojení. V tomto případě zadejte tobranch. Toto jméno nesmí být delší než 10 znaků. Služby vzdáleného přístupu 15

22 8. Volitelně můžete zadat popis profilu. 9. Přejděte na stranu Připojení. 10. Vyberte adresu IP koncového systému lokálního tunelu: V poli Jméno virtuální linky vyberte v rozbalovacím seznamu hodnotu tobranch. Uvědomte si, že k této lince není přiřazeno žádné fyzické rozhraní. Virtuální linka popisuje mnoho různých charakteristik tohoto profilu PPP, například maximální velikost rámce, informace o autentizaci, jméno lokálního hostitelského systému atd. Klepnutím na tlačítko Otevřít vedle pole Název virtuální linky otevřete panel Vlastnosti linky L2TP. 12. Na straně Obecné zadejte popis virtuální linky. 13. Přejděte na stranu Autentizace. 14. V poli Jméno lokálního hostitelského systému zadejte jméno lokálního klíčového serveru SystemB. 15. Klepnutím na tlačítko OK uložte novou virtuální linku a vra te se na stranu Připojení. 16. Přejděte na stranu Nastavení TCP/IP. 17. V sekci Adresa IP lokálního systému vyberte pevnou adresu IP lokálního systému: V sekci Adresa IP vzdáleného systému vyberte jako způsob přiřazení volbu Oblast adres. Zadejte počáteční adresu a potom zadejte počet adres, které mohou být přiřazeny vzdálenému systému. 19. Vyberte volbu Povolit vzdálenému systému přístup k dalším sítím (přesměrování IP). 20. Přejděte na stranu Autentizace a nastavte jméno uživatele a heslo pro tento profil PPP. 21. V sekci Identifikace lokálního systému vyberte volbu Povolit vzdálenému systému ověřit identitu tohoto systému. Otevře se dialog Identifikace lokálního systému. 22. V sekci Použít autentizační protokol vyberte volbu Vyžadovat šifrované heslo (CHAP-MD5). 23. Zadejte jméno uživatele SystemB a heslo. 24. Klepnutím na tlačítko OK uložte profil PPP. Aktivace pravidel paketů Průvodce VPN automaticky vytvoří pravidla paketů, která toto připojení požaduje, aby fungovalo správně. Musíte je ale aktivovat v obou systémech ještě před připojením do VPN. Chcete-li aktivovat pravidla paketů v systému A, prove te tyto kroky: 1. V prostředí produktu IBM Navigator for i rozbalte volby Sí > Zásady IP. 2. Klepnutím na volbu Pravidla paketů otevřete panel Pravidla paketů a klepněte na volbu Akce > Aktivovat pravidla. Tato akce otevře panel Aktivace pravidel paketů. 3. Vyberte, zda chcete aktivovat pouze pravidla generovaná VPN, pouze vybraný soubor, nebo obojí. Mohli byste vybrat posledně jmenovanou možnost, máte-li mnoho různých pravidel pro povolení a odepření přístupu, která chcete kromě pravidel generovaných VPN v rozhraní používat. 4. Vyberte rozhraní, na kterém chcete pravidla aktivovat. V tomto případě vyberte volbu Aktivovat tato pravidla na všech rozhraních a všech identifikátorech filtrů dvoubodového spojení. 5. Klepnutím na tlačítko OK v dialogu potvrdíte, že chcete pravidla ověřit a aktivovat ve vybraných rozhraních. Systém pak pravidla zkontroluje a ohlásí případné syntaktické a sémantické chyby v okně zprávy v dolní části okna editoru. 6. Opakujte tento postup, chcete-li aktivovat pravidla paketů v systému B. Scénář: Připojení systému ke koncentrátoru přístupu PPPoE Mnoho ISP nabízí vysokorychlostní přístup k Internetu prostřednictvím DSL s použitím protokolu PPPoE (Point-to-Point Protocol over Ethernet). Můžete systém připojit k těmto ISP, které poskytnou širokopásmové připojení, které zachovává výhody protokolu PPP. Situace Váš podnik vyžaduje rychlejší připojení k Internetu, a proto se zajímáte o službu DSL (Digital Subscriber Line) u místního poskytovatele internetových služeb (ISP). Po počátečním průzkumu zjistíte, že váš ISP používá pro 16 IBM i: Služby vzdáleného přístupu

23 připojování svých klientů protokol PPPoE. Potřebujete toto připojení PPPoE využít k zajiš ování širokopásmových připojení k Internetu prostřednictvím svého systému. Obrázek 3. Připojení systému k ISP s využitím PPPoE Řešení Připojení k ISP přes PPPoE můžete podporovat prostřednictvím systému. Systém využívá nového typu virtuální linky PPPoE, která je vázána na fyzickou linku sítě Ethernet konfigurovanou pro použití adaptéru Ethernet typu 2743, 2760, 2838, 2849, 287F, 5700, 5701, 5706, 5707, 573A, 5767 nebo 576A. Tato virtuální linka podporuje protokoly relace PPP přes sí Ethernet LAN připojenou k DSL modemu, jež zajiš uje bránu ke vzdálenému ISP. Tato přenosová brána umožňuje uživatelům připojeným k síti LAN-connected vysokorychlostní přístup k Internetu prostřednictvím připojení PPPoE. Jakmile je připojení mezi systémem a ISP spuštěno, mohou jednotliví uživatelé v síti LAN přistupovat k ISP prostřednictvím PPPoE s použitím adresy IP přiřazené systému. Chcete-li zajistit dodatečné zabezpečení, můžete použít filtrační pravidla pro virtuální linku PPPoE, kterými se omezí určité příchozí internetové přenosy. Vzorová konfigurace Chcete-li nastavit vzorovou konfiguraci PPP z produktu IBM Navigator for i, postupujte takto: 1. Konfigurujte připojovací zařízení, které se bude používat pro váš ISP. 2. Nakonfigurujte profil připojení odesílatele na systému. Dbejte na to, abyste zadali následující informace: v Typ protokolu: PPP. v Typ připojení: PPP přes Ethernet. v Provozní režim: iniciátor. v Konfigurace linky: jediná linka. 3. Na stránce Obecné ve vlastnostech nového profilu PPP zadejte jméno a popis profilu odesílatele. Toto jméno označuje profil připojení i virtuální linku PPPoE. 4. Klepněte na Připojení a otevře se stránka Připojení. Vyberte jméno virtuální linky PPPoE, které odpovídá jménu pro tento profil připojení. Poté, co vyberete linku, produkt IBM Navigator for i zobrazí dialog vlastností linky. Služby vzdáleného přístupu 17

24 a. Na stránce Obecné zadejte smysluplný popis virtuální linky PPPoE. b. Klepněte na Připojení a otevře se stránka Připojení. Z výběrového seznamu názvů fyzické linky vyberte linku Ethernet, která bude toto připojení používat, a klepněte na tlačítko Přejít. Pokud však potřebujete definovat novou linku Ethernet, napište název linky a klepněte na tlačítko Otevřít. Produkt IBM Navigator for i zobrazí dialogové okno Vlastnosti nové linky Ethernet. Poznámka: PPPoE vyžaduje adaptér Ethernet typu 2743, 2760, 2838, 2849, 287F, 5700, 5701, 5706, 5707, 573A, 5767 nebo 576A. 1) Na stránce Obecné zadejte smysluplný popis linky Ethernet a ověřte, že definice linky používá požadované hardwarové prostředky. 2) Klepněte na Připojení a otevře se stránka Připojení. Zadejte vlastnosti fyzické linky Ethernet. Další informace naleznete v dokumentaci ke svému adaptéru Ethernet a v online nápovědě. 3) Klepnutím na tlačítko OK se vrátíte na stránku vlastností virtuální linky PPPoE. c. Klepněte na Limity, abyste mohli definovat vlastnosti pro autentizaci LCP, nebo klepněte na tlačítko OK, chcete-li se vrátit na stránku Připojení nového profilu PPP. d. Když se vrátíte na stránku Připojení, určete adresování serveru PPPoE podle informací, které poskytuje váš ISP. 5. Pokud váš ISP požaduje, aby systém prokazoval svou totožnost, nebo chcete-li, aby systém autentizoval vzdálený systém, klepněte na Autentizace, čímž otevřete stránku Autentizace, kde zadáte požadované informace. 6. Klepnutím na volbu Nastavení TCP/IP IPv4 otevřete stránku Nastavení TCP/IP IPv4 a zadejte parametry pro zacházení s adresami IP pro tento profil připojení. Nastavení, které se má používat, by měl poskytnout váš ISP (poskytovatel služeb Internetu). Chcete-li umožnit uživatelům připojeným k LAN, aby se připojovali k ISP pomocí adres IP alokovaných na systému, vyberte volbu Skrýt adresy (zcela zamaskovat). 7. Klepněte na DNS a otevře se stránka DNS, kde zadejte adresu IP serveru DNS, kterou vám poskytl ISP. 8. Klepnutím na tlačítko OK profil dokončete. Související pojmy: Podpora zásad skupiny na stránce 4 S podporou zásad skupiny mohou správci sítě definovat zásady skupin podle uživatelů pro správu prostředků. K určitým uživatelům je možné přiřadit zásady pro řízení přístupu, když se přihlásí k relaci protokolu PPP (Point-to-Point Protocol) nebo L2TP (Layer Two Tunneling Protocol). Související úlohy: Vytvoření profilu připojení na stránce 50 Prvním krokem při konfiguraci připojení PPP mezi systémy je vytvoření profilu připojení na systému. Související odkazy: Konfigurace linky na stránce 54 V konfiguraci linky se definuje typ služby linky, kterou váš profil připojení PPP používá pro vytvoření připojení. Autentizace systému na stránce 48 Na platformě IBM i podporují připojení PPP několik voleb pro autentizaci vzdálených klientů volajících na systém, a také připojení k ISP nebo k jinému systému, na který systém volá. Práce s adresou IP na stránce 43 Připojení PPP umožňuje několik různých množin voleb pro správu adres IP v závislosti na typu profilu připojení. Filtrování IP paketů na stránce 44 Filtrování IP paketů omezuje služby pro jednotlivé uživatele, když se přihlašují do sítě. Scénář: Připojení vzdálených volajících klientů k systému Vzdálení uživatelé, jako například lidé pracující doma nebo mobilní klienti, často vyžadují přístup do sítě své firmy. Tito volající klienti mohou získat přístup do systému prostřednictvím protokolu PPP. 18 IBM i: Služby vzdáleného přístupu

25 Situace Jako administrátor sítě vaší firmy máte na starost údržbu systému i sí ových klientů. Místo toho, abyste chodili do práce řešit a odstraňovat problémy, potřebujete možnost pracovat z nějakého vzdáleného místa, například ze svého domova. Jelikož vaše firma nemá vázané sí ové připojení k Internetu, můžete se k firemnímu systému připojit prostřednictvím protokolu PPP. Kromě toho máte v současné době pouze modem ECS, který pro toto připojení musíte využít. Obrázek 4. Připojení vzdálených klientů k systému Řešení Pro připojení domácího PC k systému pomocí modemu můžete použít PPP. Jelikož pro tento typ připojení PPP použijete modem ECS, musíte se ujistit, že modem je konfigurovaný pro synchronní i asynchronní režim. Na obrázku je znázorněn systém se službami PPP, který je připojen k síti LAN se dvěma PC. Vzdálený pracovník se pak spojí se systémem. Systém ověří svou totožnost a stane se součástí pracovní sítě ( ). V tomto případě je snazší volajícímu klientovi přiřadit statickou adresu IP. Vzdálený pracovník použije protokol CHAP-MD5 (Challenge Handshake Authentication) k autentizaci v systému. Systém nemůže používat MS-CHAP, proto se ujistěte, že je klient PPP nastaven na používání CHAP-MD5. Pokud chcete, aby vaši vzdálení pracovníci měli výše uvedený přístup k firemní síti, je nutné v balíku TCP/IP stejně jako v profilu příjemce PPP umožnit směrování pomocí IP, přičemž směrování IP musí být správně konfigurováno. Služby vzdáleného přístupu 19

26 Jestliže chcete omezit nebo zabezpečit akce, které může vzdálený klient podnikat ve vaší síti, můžete použít pravidla filtrování, jež se budou uplatňovat na IP pakety takového klienta. Pokud chcete, aby se vaši vzdálení pracovníci mohli připojovat k vaší podnikové síti prostřednictvím protokolu IPv6, musíte IPv6 také povolit v profilu připojení. Nemusíte přiřazovat specifickou adresu IPv6. Pokud však chcete, aby měli vzdálení pracovníci přiřazenu nejen předvolenou adresu IPv6 lokální linky, musíte bu nakonfigurovat předponu adresy IPv6, nebo pokud máte v podnikové síti dostupný server DHCPv6, nastavte příslušné volby. V tomto příkladě předpokládejme, že chcete propagovat předponu adresy 2001:DBA::, předvolenou trasu, a že je server DHCPv6 ve vaší podnikové síti schopen poskytovat adresy IP. V profilu připojení musí být nakonfigurovaná globální adresa IPv6, aby server DHCPv6 mohl vracet na vzdáleného volajícího klienta požadované informace. Na výše uvedeném obrázku je pouze jeden volající klient, protože modem electronic může obsluhovat v daném okamžiku pouze jedno připojení. Vzorová konfigurace Chcete-li nastavit vzorovou konfiguraci PPP z produktu IBM Navigator for i, postupujte takto: 1. Nakonfigurujte telefonické připojení do sítě a vytvořte telefonické připojení ke vzdálenému PC. 2. Nakonfigurujte profil připojení příjemce na systému. Dbejte na to, abyste zadali následující informace: v Typ protokolu: PPP. v Typ připojení: komutovaná linka. v Provozní režim: odpově. v Konfigurace linky: může to být jediná linka nebo oblast linek v závislosti na vašem prostředí. 3. Na stránce Obecné ve vlastnostech nového profilu PPP zadejte jméno a popis profilu příjemce. 4. Klepněte na Připojení a otevře se stránka Připojení. Vyberte si příslušný Název linky nebo vytvořte novou linku tak, že napíšete nový název a klepnete na tlačítko Otevřít. a. Na stránce Obecné vyberte existující hardwarový prostředek, kde je připojen váš adaptér a nastavte Rámcování na hodnotu Asynchronní. b. Klepněte na Modem a otevřete stránku Modem. Ve výběrovém seznamu Název vyberte modem IBM a pak klepněte na tlačítko Přejít. c. Klepnutím na tlačítko OK se vrátíte na stránku vlastností nového profilu PPP. 5. Klepněte na Autentizace a otevře se stránka autentizace. a. Vyberte volbu Požadovat, aby tento systém ověřil identitu vzdáleného systému. b. Vyberte Povolit šifrované heslo (CHAP-MD5). c. Vyberte Lokální autentizace pomocí ověřovacího seznamu a přidejte nového vzdáleného uživatele do ověřovacího seznamu. 6. Klepnutím na volbu Nastavení TCP/IP IPv4 otevřete stránku Nastavení TCP/IP IPv4. a. Vyberte volbu Povolit IPv4 b. Vyberte lokální adresu IP c. Pro vzdálenou adresu IP vyberte volbu Pevná adresa IP s počáteční adresou IP d. Vyberte volbu Povolit vzdálenému systému přístup k dalším sítím (přesměrování IP). 7. Klepněte na volbu Nastavení TCP/IP IPv6 a otevřete stránku Nastavení TCP/IPv6. a. Vyberte volbu Povolit IPv6. b. Zadejte globální adresu IPv6 do pole Pevná lokální adresa IP. Tato adresa musí být kompatibilní s konfigurací serveru DHCPv6, aby bylo možné distribuovat adresy IPv6. c. Vyberte hodnotu Generovat volby Identifikátor rozhraní. d. U volby Povolit vzdálenému systému přístup k ostatním sítím (směrování pomocí IP) označte hodnotu Ano. 20 IBM i: Služby vzdáleného přístupu

27 e. Nastavte volbu Předpona adresy na hodnotu 2001:DBA::. f. Vyberte volbu Propagovat předvolenou trasu IPv6. g. Vyberte volby Propagovat DHCPv6 a Konfigurace spravované adresy. 8. Klepnutím na tlačítko OK profil dokončete. Související pojmy: Plánování PPP na stránce 39 Plánování PPP (Point-to-Point Protocol) zahrnuje vytváření a správu připojení PPP. Související úlohy: Vytvoření profilu připojení na stránce 50 Prvním krokem při konfiguraci připojení PPP mezi systémy je vytvoření profilu připojení na systému. Související odkazy: CHAP-MD5 (Challenge Handshake Authentication Protocol with MD5) na stránce 48 Protokol CHAP-MD5 (Challenge Handshake Authentication Protocol) používá algoritmus (MD-5) pro výpočet hodnoty, která je známa pouze systému, který provádí autentizaci, a vzdálenému zařízení. Konfigurace linky na stránce 54 V konfiguraci linky se definuje typ služby linky, kterou váš profil připojení PPP používá pro vytvoření připojení. Oblast linek na stránce 55 Tuto službu linky vyberte, chcete-li nastavit, aby připojení PPP používalo linku z oblasti linek. Když je zahájeno připojení PPP, systém vybere nepoužívanou linku z oblasti linek. U profilů volání na vyžádání systém vybírá linku až tehdy, když detekuje provoz TCP/IP pro vzdálený systém. Scénář: Připojení podnikové sítě LAN k Internetu pomocí modemu Administrátoři obvykle instalují podnikové sítě, které umožňují zaměstnancům přístup k Internetu. K připojení systému k některému ISP (poskytovateli internetových služeb) mohou použít modem. PC klienti připojení k síti LAN mohou s Internetem komunikovat tak, že používají operační systém IBM i jako bránu. Situace Podniková aplikace, kterou vaše společnost používá, vyžaduje, aby uživatelé měli přístup k Internetu. Jelikož aplikace nevyžaduje velké přenosy dat, musíte být schopni k připojení systému a PC klientů v síti LAN používat modem. Tuto situaci znázorňuje následující obrázek. Služby vzdáleného přístupu 21

28 Obrázek 5. Připojení podnikové sítě LAN k Internetu pomocí modemu Řešení K připojení systému k poskytovateli internetových služeb (ISP) můžete použít svůj integrovaný (nebo jiný kompatibilní) modem. Je třeba vytvořit profil odesílatele, pomocí něhož se k ISP zřídí připojení PPP. Jakmile vytvoříte připojení mezi systémem a ISP, vaše počítače připojené k síti LAN budou moci komunikovat s Internetem, přičemž budou využívat systém jako bránu. Ujistěte se, že v profilu původce je zapnutá volba Skrýt adresy, aby klienti LAN, kteří mají soukromé adresy, mohli komunikovat s Internetem. Pokud váš poskytovatel ISP podporuje adresování IPv6, můžete v profilu původce také zapnout protokol IPv6. Když jsou nyní váš systém i sí připojeny k Internetu, je třeba, abyste se seznámili s bezpečnostními riziky. Spolupracujte se svým ISP, abyste poznali jeho strategii zabezpečení ochrany dat, a podnikněte další kroky k ochraně svého systému a sítě. Podle toho, jak využíváte Internet, byste se měli zajímat o šířku pásma. 22 IBM i: Služby vzdáleného přístupu

29 Vzorová konfigurace Chcete-li nastavit vzorovou konfiguraci z produktu IBM Navigator for i, postupujte takto: 1. Nakonfigurujte profil připojení odesílatele na systému. Dbejte na to, abyste vybrali následující informace: v Typ protokolu: PPP. v Typ připojení: komutovaná linka. v Provozní režim: vytáčení. v Konfigurace linky: může to být jediná linka nebo oblast linek v závislosti na vašem prostředí. 2. Na stránce Obecné ve vlastnostech nového profilu PPP zadejte jméno a popis profilu odesílatele. 3. Klepněte na Připojení a otevře se stránka Připojení. Vyberte si příslušný Název linky nebo vytvořte novou linku tak, že napíšete nový název a klepnete na tlačítko Otevřít. a. Na stránce Obecné ve vlastnostech nové linky vyberte existující hardwarový prostředek. Pokud vyberete jako prostředek interní modem, potom se provede automatický výběr typu modemu a nastavení typu rámcování. b. Klepnutím na tlačítko OK se vrátíte na stránku vlastností nového profilu PPP. 4. Klepněte na Přidat a napište telefonní číslo, které se má vytáčet pro dosažení serveru ISP. Dbejte na to, abyste zahrnuli případně požadovanou předponu. 5. Klepnutím na volbu Autentizace otevřete stránku Autentizace a vyberte volbu Povolit vzdálenému systému ověřit identitu tohoto systému. Vyberte si autentizační protokol a zadejte požadované jméno uživatele nebo heslo. 6. Klepněte na volbu Nastavení TCP/IP IPv4 a otevřete stránku TCP/I/ IPv4. a. Vyberte volbu Povolit IPv4. b. Vyberte volbu Přiřazená vzdáleným systémem pro adresy IP lokálních i vzdálených systémů. c. Vyberte volbu Přidat vzdálený systém jako předvolenou předepsanou cestu. d. Zaškrtněte volbu Skrýt adresy (zcela zamaskovat), aby vaše interní adresy IP nemohly být směrovány na Internet. 7. Pokud chcete povolit adresování IPv6, klepněte na volbu Nastavení TCP/IP IPv6 a otevřete stránku TCP/IP IPv6. a. Vyberte volbu Povolit IPv6. b. V poli Pevná lokální adresa IP vyberte hodnotu *None. c. Vyberte volbu Generovat pro identifikátor rozhraní. d. U volby Povolit vzdálenému systému přístup k ostatním sítím (směrování pomocí IP) označte hodnotu Ne. e. Vyberte volbu Přijmout předvolenou trasu. 8. Klepněte na DNS a otevře se stránka DNS, kde zadejte adresu IP serveru DNS, kterou vám poskytl ISP. 9. Klepnutím na tlačítko OK profil dokončete. Chcete-li k připojení k Internetu používat profil připojení, klepněte v prostředí produktu IBM Navigator for i pravým tlačítkem myši na profil připojení a vyberte Spustit. Připojení je úspěšné, když se stav změní na Aktivní. Zobrazení aktualizujete pomocí tlačítka Obnovit. Poznámka: Dbejte také na to, aby ostatní systémy ve vaší síti měly správně definováno směrování a aby se tak přenosy TCP/IP směrované na Internet z těchto systémů odesílaly přes systém. Související pojmy: Plánování PPP na stránce 39 Plánování PPP (Point-to-Point Protocol) zahrnuje vytváření a správu připojení PPP. Související úlohy: Vytvoření profilu připojení na stránce 50 Prvním krokem při konfiguraci připojení PPP mezi systémy je vytvoření profilu připojení na systému. Související odkazy: Služby vzdáleného přístupu 23

30 Oblast linek na stránce 55 Tuto službu linky vyberte, chcete-li nastavit, aby připojení PPP používalo linku z oblasti linek. Když je zahájeno připojení PPP, systém vybere nepoužívanou linku z oblasti linek. U profilů volání na vyžádání systém vybírá linku až tehdy, když detekuje provoz TCP/IP pro vzdálený systém. Konfigurace linky na stránce 54 V konfiguraci linky se definuje typ služby linky, kterou váš profil připojení PPP používá pro vytvoření připojení. Scénář: Propojení hlavní podnikové sítě a vzdálené sítě pomocí modemu Modem vám umožňuje, aby si dvě vzdálená pracoviště (například ústředí a pobočka) vzájemně vyměňovala data. Pomocí PPP lze propojit dvě sítě LAN tak, že se vytvoří připojení mezi systémem v ústředí a jiným systémem v pobočce. Situace Předpokládejme, že na dvou pracovištích máte dvě různé sítě - v pobočce a v ústředí podniku. Každý den se pobočka potřebuje spojit s ústředím firmy a vyměnit si databázové informace pro aplikace pro zadávání dat. Množství vyměněných dat není důvodem pro koupi fyzického sí ového připojení, takže se pro propojení těchto dvou sítí rozhodnete používat modemy. 24 IBM i: Služby vzdáleného přístupu

31 Obrázek 6. Propojení podnikové sítě a vzdálené sítě pomocí modemu Služby vzdáleného přístupu 25

32 Řešení Protokol PPP lze využít k vzájemnému propojení dvou sítí LAN - vytvoří se připojení mezi jednotlivými systémy, jak znázorňuje obrázek. V tomto případě předpokládejme, že vzdálená kancelář iniciuje připojení s ústředím firmy. Budete konfigurovat profil odesílatele na vzdáleném systému a profil příjemce v ústředí společnosti. Jestliže počítače ve vzdálené kanceláři potřebují přístup do podnikové sítě LAN ( ), bude nutné, aby v profilu příjemce v kanceláři ústředí bylo zapnuto zasílání IP a aby pro tyto počítače bylo povoleno směrování adres IP (v tomto příkladu , , a ). Musí být také aktivováno zasílání adres IP pro balík TCP/IP. Tato konfigurace umožňuje základní komunikaci TCP/IP mezi sítěmi LAN. Měli byste zvážit činitele zabezpečení dat a DNS pro rozlišování hostitelských jmen mezi sítěmi LAN. Můžete rovněž nakonfigurovat přístup IPv6 pro PC vzdálené kanceláře. Toho lze dosáhnout povolením směrování v sekci Nastavení TCP/IP IPv6 v profilech připojení. Musí být také aktivováno směrování pomocí IP pro sadu protokolů TCP/IP. Avšak přestože je zapnuto směrování IP, zprávy propagace směrovače na lince PPP nemohou být použity k poskytnutí předpony adresy na PC v kterékoli ze sítí LAN. Příčinou je, že zprávy propagace směrovačů jsou lokální pro linku PPP. Přiřazení adres IPv6 pro PDC proto není ovlivněno konfigurací v profilech připojení PPP. Vzorová konfigurace Chcete-li nastavit vzorovou konfiguraci z produktu IBM Navigator for i, postupujte takto: 1. Budete konfigurovat profil odesílatele na vzdáleném systému ústředí společnosti. Dbejte na to, abyste vybrali následující informace: v Typ protokolu: PPP. v Typ připojení: komutovaná linka. v Provozní režim: vytáčení. v Konfigurace linky: může to být jediná linka nebo oblast linek v závislosti na vašem prostředí. 2. Na stránce Obecné ve vlastnostech nového profilu PPP zadejte jméno a popis profilu odesílatele. 3. Klepněte na Připojení a otevře se stránka Připojení. Vyberte si příslušný Název linky nebo vytvořte novou linku tak, že napíšete nový název a klepnete na tlačítko Otevřít. a. Na stránce Obecné vlastnosti nové linky vyberte existující hardwarový prostředek a nastavte Rámcování na hodnotu Asynchronní. b. Klepněte na Modem a otevřete stránku Modem. Z výběrového seznamu Jméno vyberte modem, který používáte. c. Klepnutím na tlačítko OK se vrátíte na stránku vlastností nového profilu PPP. 4. Klepněte na Přidat a napište telefonní číslo, které se má vytáčet pro dosažení systému ústředí společnosti. Dbejte na to, abyste zahrnuli případně požadovanou předponu. 5. Klepnutím na volbu Autentizace otevřete stránku Autentizace a vyberte volbu Povolit vzdálenému systému ověřit identitu tohoto systému. Vyberte volbu Požadovat šifrované heslo (CHAP-MD5) a zadejte požadované jméno uživatele a heslo. 6. Klepnutím na volbu Nastavení TCP/IP IPv4 otevřete stránku Nastavení TCP/IP IPv4. a. Vyberte volbu Povolit IPv4. b. Jako lokální adresu IP vyberte adresu IP rozhraní LAN vzdálené kanceláře ( ) z výběrového rámečku Použít pevnou adresu IP. c. Jako adresu IP vzdáleného systému vyberte volbu Přiřazená vzdáleným systémem. d. V části týkající se směrování vyberte volbu Přidat vzdálený systém jako předvolenou předepsanou cestu. 7. Klepněte na volbu Nastavení TCP/IP IPv6 a otevřete stránku Nastavení TCP/IP IPv6. a. Vyberte volbu Povolit IPv6. b. Vyberte volbu Generovat pro identifikátor rozhraní. 26 IBM i: Služby vzdáleného přístupu

33 c. U volby Povolit vzdálenému systému přístup k ostatním sítím (směrování pomocí IP) označte hodnotu Ano. d. Jako Předponu adresy vyberte hodnotu *None. e. Neoznačujte volby Propagovat předvolenou trasu IPv6 nebo Propagovat DHCPv6. f. Přidejte příslušné trasy IPv6. 8. Klepněte na DNS. Otevře se stránka nastavení DNS. a. Zadejte jednu z následujících voleb: v adresa IP nebo hostitelské jméno pro server DNS v podnikové síti LAN. v Vyberte volbu "Žádný", pokud při vytváření připojení nechcete přidat žádné servery DNS. 9. Klepněte na tlačítko OK, čímž dokončíte profil odesílatele. 10. Nakonfigurujte profil připojení příjemce na systému ústředí společnosti. Dbejte na to, abyste vybrali následující informace: v Typ protokolu: PPP. v Typ připojení: komutovaná linka. v Provozní režim: odpově. v Konfigurace linky: může to být jediná linka nebo oblast linek v závislosti na vašem prostředí. 11. Na stránce Obecné ve vlastnostech nového profilu PPP zadejte jméno a popis profilu příjemce. 12. Klepněte na Připojení a otevře se stránka Připojení. Vyberte si příslušný Název linky nebo vytvořte novou linku tak, že napíšete nový název a klepnete na tlačítko Otevřít. a. Na stránce Obecné vyberte existující hardwarový prostředek a nastavte Rámcování na hodnotu Asynchronní. b. Klepněte na Modem a otevřete stránku Modem. Z výběrového seznamu Jméno vyberte modem, který používáte. c. Klepnutím na tlačítko OK se vrátíte na stránku vlastností nového profilu PPP. 13. Klepněte na Autentizace a otevře se stránka autentizace. a. Zaškrtněte volbu Požadovat, aby tento systém ověřil identitu vzdáleného systému. b. Přidejte nového vzdáleného uživatele do ověřovacího seznamu. c. Zaškrtněte autentizaci CHAP-MD Klepnutím na volbu Nastavení TCP/IP IPv4 otevřete stránku Nastavení TCP/IP IPv4. a. Vyberte volbu Povolit IPv4. b. Jako lokální adresu IP vyberte z rámečku pro výběr adresu IP rozhraní systému ústředí ( ). c. Jako adresu IP vzdáleného systému vyberte volbu Na základě ID uživatele vzdáleného systému. Objeví se dialog Adresy IP definované jménem uživatele. Klepněte na tlačítko Přidat. Vyplňte pole pro jméno volajícího uživatele, adresu IP a masku podsítě. V našem scénáři jsou správné následující hodnoty: v Jméno volajícího uživatele: Remote_site v Adresa IP: v Maska podsítě: Klepněte na tlačítko OK a znovu klepněte na tlačítkook, čímž se vrátíte na stránku nastavení TCP/IP. d. Vyberte volbu Směrování pomocí IP, čímž umožníte ostatním systémům v síti používat tento systém jako bránu. 15. Klepněte na volbu Nastavení TCP/IP IPv6 a otevřete stránku Nastavení TCP/IP IPv6. a. Vyberte volbu Povolit IPv6. b. Vyberte volbu Generovat pro identifikátor rozhraní. c. U volby Povolit vzdálenému systému přístup k ostatním sítím (směrování pomocí IP) označte hodnotu Ano. d. Jako Předponu adresy vyberte hodnotu None. e. Neoznačujte volbu Propagovat předvolenou trasu IPv6 nebo Propagovat DHCPv6. Služby vzdáleného přístupu 27

34 f. Přidejte příslušné trasy IPv Klepněte na tlačítko OK, čímž dokončíte profil příjemce. Související úlohy: Vytvoření profilu připojení na stránce 50 Prvním krokem při konfiguraci připojení PPP mezi systémy je vytvoření profilu připojení na systému. Související odkazy: Konfigurace linky na stránce 54 V konfiguraci linky se definuje typ služby linky, kterou váš profil připojení PPP používá pro vytvoření připojení. Oblast linek na stránce 55 Tuto službu linky vyberte, chcete-li nastavit, aby připojení PPP používalo linku z oblasti linek. Když je zahájeno připojení PPP, systém vybere nepoužívanou linku z oblasti linek. U profilů volání na vyžádání systém vybírá linku až tehdy, když detekuje provoz TCP/IP pro vzdálený systém. Scénář: Autentizace telefonických připojení pomocí RADIUS NAS Server NAS (Network Access Server) spuštěný na systému může směrovat požadavky na autentizaci volajících klientů na samostatný server RADIUS. Jestliže dojde k autentizaci, může server RADIUS také řídit adresy IP přiřazené uživatelům. Situace Do sítě vašeho podniku se telefonicky připojují vzdálení uživatelé ke dvěma systémům. Potřebujete způsob, jak centralizovat autentizaci, služby a účtování, aby jeden systém mohl vyřizovat požadavky na ověřování ID a hesel uživatelů a určovat, které adresy IP jsou jim přiřazené. Obrázek 7. Autentizace telefonických připojení pomocí serveru RADIUS Řešení Když se uživatelé pokusí o připojení, server NAS (Network Access Server) spuštěný na systémech odešle autentizační informace na server RADIUS v síti. Server RADIUS, který ukládá všechny autentizační informace vaší sítě, zpracuje požadavky na autentizaci a odpoví. Server RADIUS lze také konfigurovat tak, aby po ověření uživatele přiřazoval peerům adresy IP a aktivoval účtování za účelem sledování aktivity uživatele a využití. Chcete-li podporovat služby 28 IBM i: Služby vzdáleného přístupu

35 RADIUS, je třeba, abyste na systému definovali server RADIUS NAS. Vzorová konfigurace Chcete-li nastavit vzorovou konfiguraci z produktu IBM Navigator for i, postupujte takto: 1. V prostředí produktu IBM Navigator for i rozbalte volby Správa systému IBM i > Sí > Všechny úlohy > Služby vzdáleného přístupu a vyberte volbu Služby. 2. Na kartě RADIUS vyberte volbu Povolit připojení k serveru RADIUS pro přístup do sítě a volbu Povolit RADIUS pro autentizaci. Podle vašeho řešení pomocí serveru RADIUS si můžete také zvolit, aby server RADIUS vyřizoval účtování připojení a konfiguraci adres TCP/IP. 3. Klepněte na tlačítko Nastavení RADIUS NAS. 4. Na stránce Obecné zadejte popis tohoto serveru. 5. Na stránce Autentizační server (a volitelně také na stránce Účtovací server) klepněte na Přidat a zadejte následující informace: a. Do rámečku Adresa IP lokálního systému zadejte adresu IP rozhraní používanou pro připojení k serveru RADIUS. b. Do rámečku Adresa IP serveru zadejte adresu IP pro server RADIUS. c. Do rámečku Heslo zadejte heslo používané k identifikaci systému na serveru RADIUS. d. Do rámečku Port zadejte port na systému používaný ke komunikaci se serverem RADIUS. Pro autentizační server je předvolený port 1812, pro účtovací server je to port Klepněte na tlačítko OK. 7. V prostředí produktu IBM Navigator for i rozbalte volby Správa systému IBM i > Sí > Služby vzdáleného přístupu a vyberte volbu Profily připojení příjemce. 8. Vyberte profil připojení, který bude server RADIUS používat pro autentizaci. Pro profil připojení příjemce lze použít pouze služby RADIUS. 9. Na stránce Autentizace vyberte volbu Požadovat, aby tento systém ověřil identitu vzdáleného systému. 10. Vyberte Vzdálená autentizace pomocí serveru RADIUS. 11. Vyberte autentizační protokol (PAP nebo CHAP-MD5). Tento protokol musí používat také server RADIUS. 12. Vyberte volbu Povolit RADIUS pro editování a účtování připojení. 13. Klepnutím na tlačítko OK uložíte změnu profilu připojení. Musíte také nastavit server RADIUS včetně podpory autentizačního protokolu, uživatelských dat a informací o účtování. Další informace vám poskytne prodejce serveru RADIUS. Když se uživatelé telefonicky připojují pomocí tohoto profilu připojení, systém odešle informace o autentizaci uvedenému serveru RADIUS. Pokud je ověřena totožnost uživatele, připojení se aktivuje (umožní) a uplatní se všechna omezení připojení uvedená v informacích o uživateli na serveru RADIUS. Související úlohy: Povolení služeb RADIUS a DHCP pro profily připojení na stránce 63 Pokyny pro povolení služeb RADIUS nebo DHCP (Dynamic Host Configuration Protocol) pro profily připojení příjemců PPP. Související odkazy: Autentizace systému na stránce 48 Na platformě IBM i podporují připojení PPP několik voleb pro autentizaci vzdálených klientů volajících na systém, a také připojení k ISP nebo k jinému systému, na který systém volá. Přehled o protokolu RADIUS (Remote Authentication Dial In User Service) na stránce 49 RADIUS (Remote Authentication Dial in User Service) je standardní internetový protokol, který poskytuje služby centralizované autentizace, účtování a správy IP uživatelům vzdáleného přístupu na distribuované vytáčené síti. Služby vzdáleného přístupu 29

36 Scénář: Správa přístupu vzdálených uživatelů k prostředkům pomocí zásad skupin a filtrování IP Zásady přístupu skupin vymezují skupiny uživatelů pro určité připojení a umožňují vám použít některé běžné atributy připojení a bezpečnostního nastavení na celou skupinu. V kombinaci s filtrováním IP tak můžete povolovat a zamezovat přístup ke konkrétním adresám IP ve vaší síti. Situace Vaše sí má několik skupin distribuovaných uživatelů, z nichž každý potřebuje přístup k různým prostředkům podnikové sítě LAN. Skupina uživatelů vkládajících data potřebuje přístup k databázi a několika dalším aplikacím. Lidé z ostatních společností potřebují telefonický (vytáčený) přístup ke službám HTTP, FTP a Telnet, ale z důvodů zabezpečení dat nesmí mít možnost přistupovat k jiným TCP/IP službám nebo přenosům. Kdybyste podrobně definovali atributy a povolení připojení pro každého uživatele, bylo by to pracnější a omezení sítě pro všechny uživatele tohoto profilu připojení nebude zaručovat dostatečnou kontrolu. Potřebujete nějak definovat nastavení a možnosti připojení pro několik odlišných skupin uživatelů, kteří se běžně připojují k tomuto systému přes telefonní linku. Obrázek 8. Nastavení telefonických připojení s uplatněním zásady skupinového nastavení Řešení Potřebujete použít jedinečná filtrovací omezení IP na dvě různé skupiny uživatelů. Toho dosáhnete tak, že vytvoříte zásady přístupu skupin a pravidla filtrování IP. Zásady přístupu skupin se odkazují na pravidla filtrování IP, takže nejprve musíte vytvořit pravidla filtrování. V tomto příkladu musíte vytvořit filtr PPP, který má zahrnovat pravidla filtrování IP pro zásadu přístupu skupiny obchodních partnerů IBM. Tato pravidla filtrování povolí služby HTTP, FTP a Telnet, avšak zamezí přístupu ke všem ostatním přenosům a službám TCP/IP na systému. Tento scénář pouze zobrazuje pravidla filtrování potřebná pro skupinu prodeje; podobné filtry byste si však mohli také nastavit pro skupinu Zadávání dat. Nakonec si musíte vytvořit zásady přístupu skupiny (vždy jednu pro jednu skupinu), čímž svou skupinu definujete. Zásada přístupu skupiny vám umožňuje definovat běžné atributy připojení pro uživatele ve skupině. Přidáte-li zásadu přístupu skupin do Ověřovacího seznamu na systému, budete moci použít toto nastavení připojení během procesu autentizace. Zásada přístupu skupiny definuje několik nastavení pro relaci uživatele včetně možnosti uplatnit pravidla filtrování IP, která omezí adresy IP a služby TCP/IP, které jsou uživateli v dané relaci dostupné. 30 IBM i: Služby vzdáleného přístupu

37 Vzorová konfigurace Chcete-li nastavit vzorovou konfiguraci z produktu IBM Navigator for i, postupujte takto: 1. Vytvořte identifikátor filtru PPP a filtry pro pravidla paketu IP, které specifikují povolení a omezení pro tuto zásadu přístupu skupiny. a. V prostředí produktu IBM Navigator for i rozbalte volby Správa systému IBM i > Sí > Všechny úlohy > Služby vzdáleného přístupu > Profily připojení příjemce a klepněte na položku Zásady přístupu skupiny. b. Klepněte pravým tlačítkem myši na předdefinovanou skupinu, zobrazenou v podokně na pravé straně a vyberte Vlastnosti. Poznámka: Pokud chcete vytvořit nové zásady přístupu skupiny, klepněte pravým tlačítkem myši na Zásady přístupu skupiny a vyberte Nové zásady přístupu skupiny. Vyplňte kartu Obecné. Potom vyberte kartu Nastavení TCP/IP a pokračujte krokem e uvedeným níže. c. Použijte kartu Nastavení TCP/IP IPv4 a klepněte na položku Rozšířené. d. Vyberte volbu Použít pro toto připojení pravidla paketu IP. Pak klepněte na Editovat soubor pravidel. Tak spustíte editor pravidel paketu IP a otevřete soubor PPP pravidel filtrování paketu. e. Otevřete nabídku Vložit a vyberte volbu Filtry, abyste mohli přidat sady filtrů. Na kartě Obecné definujte sady filtrů a na kartě Služby definujte službu, kterou povolujete, například HTTP. Následující sada filtrů, "services_rules,", umožní služby HTTP, FTP a Telnet. Pravidla filtrování obsahují implicitně omezovací příkazy, které zamezují všechny služby TCP/IP nebo přenosy IP, jež nejsou výslovně povoleny. Poznámka: Adresy IP v následujícím příkladu jsou globálně směrovatelné a slouží pouze jako příklad. ### Následující 2 filtry umožní HTTP (prohlížeč Web) přenosy do systému a z něj. FILTER SET services_rules ACTION = PERMIT DIRECTION = INBOUND SRCADDR % = * DSTADDR = PROTOCOL = TCP DSTPORT = 80 SRCPORT % = * FRAGMENTS = NONE JRN = OFF FILTER SET services_rules ACTION = PERMIT DIRECTION = OUTBOUND SRCADDR % = DSTADDR = * PROTOCOL = TCP DSTPORT = * SRCPORT = % 80 FRAGMENTS = NONE JRN = OFF ### Následující 4 filtry umožní přenosy FTP do systému a z něj. FILTER SET services_rules ACTION = PERMIT DIRECTION = INBOUND SRCADDR % = * DSTADDR = PROTOCOL = TCP DSTPORT = 21 SRCPORT % = * FRAGMENTS = NONE JRN = OFF FILTER SET services_rules ACTION = PERMIT DIRECTION = OUTBOUND SRCADDR % = DSTADDR = * PROTOCOL = TCP DSTPORT = * SRCPORT = % 21 FRAGMENTS = NONE JRN = OFF FILTER SET services_rules ACTION = PERMIT DIRECTION = INBOUND SRCADDR % = * DSTADDR = PROTOCOL = TCP DSTPORT = 20 SRCPORT % = * FRAGMENTS = NONE JRN = OFF FILTER SET services_rules ACTION = PERMIT DIRECTION = OUTBOUND SRCADDR % = DSTADDR = * PROTOCOL = TCP DSTPORT = * SRCPORT = % 20 FRAGMENTS = NONE JRN = OFF ### Následující 2 filtry umožní přenosy telnet do systému a z něj. FILTER SET services_rules ACTION = PERMIT DIRECTION = INBOUND SRCADDR % = * DSTADDR = PROTOCOL = TCP DSTPORT = 23 SRCPORT % = * FRAGMENTS = NONE JRN = OFF FILTER SET services_rules ACTION = PERMIT DIRECTION = OUTBOUND SRCADDR % = DSTADDR = * PROTOCOL = TCP DSTPORT = * SRCPORT % = 23 FRAGMENTS = NONE JRN = OFF f. Otevřete nabídku Vložit a vyberte Filtrovací rozhraní. Pomocí filtrovacího rozhraní můžete vytvořit identifikátor filtru PPP a zahrnout sady filtrů, které jste definovali. Služby vzdáleného přístupu 31

38 1) Na kartě Obecné zadejte jako identifikátor filtru PPP permitted_services. 2) Na kartě Sady filtrů vyberte sadu filtrů services_rules a klepněte na tlačítko Přidat. 3) Klepněte na tlačítko OK. Do souboru pravidel se přidá následující řádek: ### Následující příkaz váže (přiřazuje) sadu filtrů services_rules k ID PPP filtru "permitted_services." Toto ID PPP filtru lze pak použít na fyzické rozhraní přiřazené k profilu připojení PPP nebo zásadu přístupu skupiny. FILTER_INTERFACE PPP_FILTER_ID = permitted_services SET = services_rules g. Změny uložte a ukončete práci. Pokud budete později potřebovat tyto změny anulovat, zadejte do znakově orientovaného rozhraní příkaz RMVTCPTBL *ALL. Tak odstraníte všechna pravidla filtrování a NAT na systému. h. V dialogu Rozšířená nastavení TCP/IP ponechejte okénko Identifikátor filtru PPP prázdné a klepněte na tlačítko OK, čímž práci ukončíte. Později byste měli použít identifikátor filtru, který jste právě vytvořili, na zásadu přístupu skupiny, nikoliv na tento profil připojení. 2. Definujte novou zásadu přístupu skupiny pro tuto skupinu uživatelů. a. V prostředí produktu IBM Navigator for i rozbalte volby Správa systému IBM i > Sí > Všechny úlohy > Služby vzdáleného přístupu > Profily připojení příjemce > Zásady přístupu skupiny a vyberte volbu Zásady přístupu skupiny. b. Na stránce Obecné zadejte jméno a popis zásady přístupu skupiny. c. Na stránce Nastavení TCP/IP: v Vyberte volbu Použít pro toto připojení pravidla paketu IP a zvolte identifikátor filtru PPP permitted_services. d. Vyberte OK, čímž uložíte zásadu přístupu skupiny. 3. Použijte zásadu přístupu skupiny na uživatele, kteří jsou přidruženi k této skupině. a. Otevřete profil příjemce připojení, kterým se řídí tato telefonická připojení. b. Na stránce Autentizace u profilu příjemce připojení vyberte ověřovací seznam, který obsahuje autentizační informace o uživatelích, a klepněte na Otevřít. c. Vyberte uživatele ze skupiny prodeje, na kterého chcete uplatnit zásadu přístupu skupiny, a klepněte na Otevřít. d. Klepněte na tlačítko Použít pro uživatele zásadu skupiny a vyberte zásadu přístupu skupiny definovanou v kroku 2. e. Kroky zopakujte pro všechny uživatele ve skupině prodeje. Související pojmy: Konfigurace zásady přístupu skupiny na stránce 61 Složka Zásady přístupu skupiny pod volbou Profily připojení příjemce poskytuje volby konfiguračních parametrů pro dvoubodové připojení, které se používají pro skupiny vzdálených uživatelů. To se týká pouze těch dvoubodových připojení, která jsou iniciována ze vzdáleného systému a jsou přijata lokálním systémem. Podpora zásad skupiny na stránce 4 S podporou zásad skupiny mohou správci sítě definovat zásady skupin podle uživatelů pro správu prostředků. K určitým uživatelům je možné přiřadit zásady pro řízení přístupu, když se přihlásí k relaci protokolu PPP (Point-to-Point Protocol) nebo L2TP (Layer Two Tunneling Protocol). Související úlohy: Vytvoření profilu připojení na stránce 50 Prvním krokem při konfiguraci připojení PPP mezi systémy je vytvoření profilu připojení na systému. Použití pravidel filtrování IP na připojení PPP na stránce 63 Soubor pravidel paketů můžete použít pro omezení přístupu k adresám IP pro uživatele nebo skupiny ve vaší síti. Související odkazy: Ověřovací seznam na stránce 50 Ověřovací seznam se používá pro ukládání ID a hesel vzdálených uživatelů. 32 IBM i: Služby vzdáleného přístupu

39 Autentizace systému na stránce 48 Na platformě IBM i podporují připojení PPP několik voleb pro autentizaci vzdálených klientů volajících na systém, a také připojení k ISP nebo k jinému systému, na který systém volá. Související informace: Filtrování IP a převod sí ových adres (NAT) Scénář: Použití L2TP pro sdílení modemu mezi logickými oblastmi Musíte nastavit virtuální Ethernet přes čtyři logické oblasti na disku. Přejete si, aby vybrané logické oblasti sdílely modem pro přístup do vnější sítě LAN. Situace Jste systémový administrátor ve středně velké společnosti. Měli byste provést aktualizaci vašeho počítače, ale vy byste chtěli udělat ještě více; chcete váš hardware zjednodušit. Začnete tím, že sjednotíte práci tří starých systémů a převedete ji na jeden systém. V systému vytvoříte tři logické oblasti. Nový systém obsahuje interní modem Je to jediný I/O procesor (IOP), který umožňuje podporu PPP. Máte rovněž starý modem ECS (electronic customer support). Řešení Více systémů a oblastí může sdílet stejný modem pro telefonická připojení, není tedy třeba, aby každý systém nebo oblast měly vlastní modem. To je možné tehdy, když používáte tunely L2TP a konfigurujete profily L2TP, které umožňují odchozí volání. Ve vaší síti se tunely budou spouštět přes virtuální sí Ethernet a přes fyzickou sí. Fyzická linka je připojena do jiného systému, který sdílí modemy ve vaší síti. Podrobnosti Následující obrázek znázorňuje charakteristiku sítě s tímto scénářem: Služby vzdáleného přístupu 33

40 Obrázek 9. Více systémů, které sdílejí stejný modem pro telefonické připojení Nezbytné předpoklady a podmínky Systém A musí splňovat následující požadavky na nastavení: v Operační systém IBM i 5.3 nebo novější, nainstalovaný v oblasti, která vlastní modemy podporující přenos typu ASYNC. v Hardware, který vám umožní rozdělení systému na oblasti. v IBM Navigator for i v Máte v systému vytvořené alespoň dvě logické oblasti (LPAR). Oblast, která vlastní modem, musí mít nainstalovaný operační systém IBM i 5.3 nebo novější. Ostatní oblasti mohou mít nainstalovaný systém IBM i, Linux, nebo AIX. Oblasti v tomto scénáři používají bu operační systém IBM i nebo Linux. v Máte virtuální sí Ethernet, určenou pro komunikaci mezi oblastmi. Související informace: Logické oblasti Podrobný scénář: Použití L2TP pro sdílení modemu mezi logickými oblastmi Po splnění všech nezbytných předchozích podmínek jste připraveni ke konfiguraci profilů L2TP. Krok 1: Konfigurace profilu terminátoru L2TP pro rozhraní v oblasti, která vlastní modemy: Chcete-li vytvořit nový profil terminátoru pro libovolné rozhraní, postupujte takto: 1. V prostředí produktu IBM Navigator for i rozbalte volby Správa systému IBM i > Sí > Všechny úlohy > Služby vzdáleného přístupu > Profily připojení příjemce a klepněte na položku Vytvořit profil připojení příjemce. 2. V nabídce nastavení stránky vyberte následující volby a klepněte na tlačítko OK: v Typ protokolu: PPP. 34 IBM i: Služby vzdáleného přístupu