Cenário VPN: direcionamento voluntário de L2TP protegido pela VPN

Suponha que a sua empresa possui uma pequena sucursal noutro país.  No decorrer de um dia útil normal, a sucursal poderá requerer acesso a informações confidenciais num iSeries AS/400 da intranet da empresa.  A sua empresa utiliza atualmente uma dispendiosa linha dedicada para fornecer à sucursal o acesso à rede da empresa.  Apesar de a sua empresa pretender continuar a fornecer acesso seguro à respectiva intranet, pretende sobretudo reduzir as despesas associadas à linha dedicada.  Tal é possível através da criação de um direcionamento voluntário do Protocolo Layer 2 Tunnel (L2TP) que expande a rede da empresa de tal forma que a sucursal parece fazer parte da sub-rede da empresa. A VPN protege o tráfego de dados no direcionamento de L2TP.

Com um direcionamento voluntário de L2TP, a sucursal remota estabelece um direcionamento diretamente ao servidor de rede L2TP (LNS) da rede da empresa.  A funcionalidade do concentrador de acesso de L2TP (LAC) reside no cliente.  O direcionamento é visível ao Fornecedor de Serviços da Internet (ISP) do cliente remoto, pelo que não é necessário que o ISP suporte L2TP.  Se pretender saber mais informações sobre conceitos L2TP, consulte Protocolo Layer 2 Tunnel (L2TP).

Nota importante:
Este cenário mostra as portas de ligação de segurança do iSeries ligadas diretamente à Internet.  A ausência de uma firewall é propositada, de modo a simplificar o cenário.  No entanto, isto não quer dizer que não seja necessária a utilização de uma firewall.  De fato, deve ter em conta os riscos de segurança envolvidos cada vez que estabelece ligação à Internet.  Reveja o redbook, AS/400 Internet Security Scenarios: A Practical Approach, SG24-5954-00 para obter uma descrição detalhada dos vários métodos de redução deste tipo de risco.

Objetivos do cenário

Neste cenário, um iSeries AS/400 de uma sucursal estabelece ligação à rede da sede através de um iSeries de porta de ligação com um direcionamento de L2TP protegido pela VPN.

Os objetivos principais deste cenário são:

• O sistema da sucursal inicia sempre a ligação à sede.
• O sistema da sucursal é o único sistema na rede da sucursal que necessita de ter acesso à rede da sede.  Por outras palavras, a função que esta desempenha é a de um sistema central, e não de uma porta de ligação, na rede da sucursal.
• O sistema da sede é um computador anfitrião na rede da sede.

Detalhes do cenário

A figura seguinte ilustra as características da rede para este cenário:

iSeries-A

• Deve ter acesso a aplicações TCP/IP em todos os sistemas da rede da empresa.
• Recebe endereços de IP atribuídos dinamicamente do ISP.
• Deve ser configurado para fornecer suporte de L2TP.

iSeries-B

• Deve ter acesso a aplicações TCP/IP no iSeries-A.
• A sub-rede é 10.6.0.0 com a máscara 255.255.0.0.  Esta sub-rede representa o ponto de terminação de dados do encaminhamento de VPN do lado da empresa.
• Estabelece ligação à Internet através do endereço de IP 205.13.237.6.  Isto é o ponto de terminação da ligação.  Ou seja, o iSeries-B executa a gestão de chaves e aplica o IPSec a datagramas de IP de recepção e de envio.  O iSeries-B estabelece ligação à respectiva sub-rede através do endereço de IP 10.6.11.1.

Em termos do L2TP, o iSeries-A atua como o iniciador de L2TP, enquanto que o iSeries-B atua como o terminador de L2TP.

Configurar a ligação

Partindo do princípio que a configuração TCP/IP jé existe e funciona, deve concluir as seguintes tarefas:

1. Configurar a VPN no iSeries-A.
2. Configurar um perfil de ligação PPP e uma linha virtual para o iSeries-A.
3. Aplicar o grupo de chaves dinâmicas ao perfil PPP.
4. Configurar a VPN no iSeries-B.
5. Configurar um perfil de ligação PPP e uma linha virtual para o iSeries-B.
6. Ativar regras de pacotes no iSeries-A e no iSeries-B.
7. Iniciar a ligação a partir do iSeries-A.