ProHoster > Blog > İdarə > IPSec vasitəsilə IPVPN Beeline-a necə çatmaq olar. 1-ci hissə

IPSec vasitəsilə IPVPN Beeline-a necə çatmaq olar. 1-ci hissə

Salam! IN əvvəlki yazı MultiSIM xidmətimizin işini qismən təsvir etdim rezervasiyalar и balanslaşdırma kanallar. Qeyd edildiyi kimi, biz müştəriləri VPN vasitəsilə şəbəkəyə qoşuruq və bu gün sizə VPN və bu hissədəki imkanlarımız haqqında bir az ətraflı məlumat verəcəyəm.

Bir telekommunikasiya operatoru olaraq, sabit xətt müştəriləri üçün iki əsas seqmentə bölünən öz nəhəng MPLS şəbəkəmizdən başlamağa dəyər - birbaşa İnternetə daxil olmaq üçün istifadə olunan və digər təcrid olunmuş şəbəkələr yaratmaq üçün istifadə olunur – və məhz bu MPLS seqmenti vasitəsilə korporativ müştərilərimiz üçün IPVPN (L3 OSI) və VPLAN (L2 OSI) trafiki axır.

IPSec vasitəsilə IPVPN Beeline-a necə çatmaq olar. 1-ci hissə
Tipik olaraq, müştəri bağlantısı aşağıdakı kimi baş verir.

Müştərinin ofisinə şəbəkənin ən yaxın mövcudluq nöqtəsindən (MEN, RRL, BSSS, FTTB qovşağı və s.) giriş xətti çəkilir və daha sonra kanal nəqliyyat şəbəkəsi vasitəsilə müvafiq PE-MPLS-ə qeydiyyata alınır. Müştərinin ehtiyac duyduğu trafik profilini nəzərə alaraq VRF müştərisi üçün xüsusi olaraq yaradılan marşrutlaşdırıcıya çıxarırıq (profil etiketləri hər giriş portu üçün ip üstünlük dəyərlərinə əsasən seçilir 0,1,3,5, XNUMX).

Əgər nədənsə biz müştəri üçün son mili tam təşkil edə bilmiriksə, məsələn, müştərinin ofisi başqa bir provayderin prioritet olduğu biznes mərkəzində yerləşirsə və ya sadəcə olaraq yaxınlıqda mövcud olma nöqtəmiz yoxdursa, o zaman əvvəllər müştərilər müxtəlif provayderlərdə (ən sərfəli arxitektura deyil) bir neçə IPVPN şəbəkəsi yaratmalı və ya İnternet üzərindən VRF-yə girişin təşkili ilə bağlı problemləri müstəqil həll etməli idi.

Çoxları bunu IPVPN İnternet şlüzünü quraşdıraraq etdi - onlar sərhəd marşrutlaşdırıcısı (avadanlıq və ya bəzi Linux əsaslı həllər) quraşdırdılar, ona bir portla IPVPN kanalını, digəri ilə İnternet kanalını qoşdular, VPN serverlərini işə saldılar və qoşuldular. istifadəçilər öz VPN şlüzləri vasitəsilə. Təbii ki, belə bir sxem həm də yüklər yaradır: belə infrastruktur qurulmalı və ən əlverişsiz halda işlədilməli və inkişaf etdirilməlidir.

Müştərilərimizin həyatını asanlaşdırmaq üçün biz mərkəzləşdirilmiş VPN mərkəzi quraşdırdıq və IPSec-dən istifadə edərək İnternet üzərindən bağlantılar üçün dəstək təşkil etdik, yəni indi müştərilər yalnız hər hansı ictimai İnternet üzərindən IPSec tuneli vasitəsilə VPN mərkəzimizlə işləmək üçün marşrutlaşdırıcılarını konfiqurasiya etməlidirlər. , və biz bu müştərinin trafikini VRF-ə buraxaq.

Bunu kim faydalı tapacaq?

  • Artıq böyük bir IPVPN şəbəkəsi olan və qısa müddətdə yeni bağlantılara ehtiyacı olanlar üçün.
  • Nədənsə trafikin bir hissəsini ictimai İnternetdən IPVPN-ə köçürmək istəyən, lakin əvvəllər bir neçə xidmət təminatçısı ilə əlaqəli texniki məhdudiyyətlərlə qarşılaşan hər kəs.
  • Hal-hazırda müxtəlif telekommunikasiya operatorları arasında bir neçə fərqli VPN şəbəkəsi olanlar üçün. Beeline, Megafon, Rostelecom və s.-dən IPVPN-ni uğurla təşkil edən müştərilər var. Bunu asanlaşdırmaq üçün siz yalnız bizim tək VPN-də qala, digər operatorların bütün digər kanallarını İnternetə keçirə və sonra IPSec və bu operatorlardan İnternet vasitəsilə Beeline IPVPN-ə qoşula bilərsiniz.
  • İnternetdə artıq IPVPN şəbəkəsi olanlar üçün.

Hər şeyi bizimlə yerləşdirsəniz, müştərilər tam hüquqlu VPN dəstəyi, ciddi infrastruktur ehtiyatı və adət etdikləri hər hansı bir marşrutlaşdırıcıda işləyəcək standart parametrlər alırlar (istər Cisco, istərsə də Mikrotik olsun, əsas odur ki, onu düzgün dəstəkləyə bilsin. standartlaşdırılmış autentifikasiya üsulları ilə IPSec/IKEv2). Yeri gəlmişkən, IPSec haqqında - hazırda biz yalnız onu dəstəkləyirik, lakin biz həm OpenVPN, həm də Wireguard-ın tam hüquqlu işləməsinə başlamağı planlaşdırırıq ki, müştərilər protokoldan asılı olmasın və hər şeyi götürüb bizə ötürmək daha da asan olsun, və biz həmçinin müştəriləri kompüterlərdən və mobil cihazlardan birləşdirməyə başlamaq istəyirik (ƏS-də quraşdırılmış həllər, Cisco AnyConnect və strongSwan və s.). Bu yanaşma ilə, infrastrukturun faktiki tikintisi yalnız CPE və ya hostun konfiqurasiyasını tərk edərək təhlükəsiz şəkildə operatora təhvil verilə bilər.

IPSec rejimi üçün qoşulma prosesi necə işləyir:

  1. Müştəri menecerinə tələb qoyur, burada o, tunel üçün tələb olunan əlaqə sürətini, trafik profilini və IP ünvanlama parametrlərini (standart olaraq, /30 maskalı alt şəbəkə) və marşrutlaşdırma növünü (statik və ya BGP) göstərir. Marşrutları qoşulmuş ofisdə müştərinin yerli şəbəkələrinə ötürmək üçün IPSec protokol mərhələsinin IKEv2 mexanizmləri müştəri yönləndiricisindəki müvafiq parametrlərdən istifadə etməklə istifadə olunur və ya müştərinin ərizəsində göstərilən özəl BGP AS-dan MPLS-də BGP vasitəsilə reklam olunur. . Beləliklə, müştəri şəbəkələrinin marşrutları haqqında məlumat müştəri yönləndiricisinin parametrləri vasitəsilə müştəri tərəfindən tamamilə idarə olunur.
  2. Menecerindən cavab olaraq, müştəri VRF formasına daxil etmək üçün mühasibat məlumatlarını alır:
    • VPN-HUB IP ünvanı
    • giriş
    • Doğrulama parolu
  3. Aşağıdakı CPE-ni konfiqurasiya edir, məsələn, iki əsas konfiqurasiya variantı:

    Cisco üçün seçim:
    kripto ikev2 açarlıq BeelineIPsec_keyring
    həmyaşıd Beeline_VPNHub
    ünvan 62.141.99.183 -VPN mərkəzi Beeline
    əvvəlcədən paylaşılan açar <Autentifikasiya parolu>
    !
    Statik marşrutlaşdırma seçimi üçün Vpn-hub vasitəsilə əldə edilə bilən şəbəkələrə marşrutlar IKEv2 konfiqurasiyasında göstərilə bilər və onlar avtomatik olaraq CE marşrutlaşdırma cədvəlində statik marşrutlar kimi görünəcək. Bu parametrlər həmçinin statik marşrutların qurulmasının standart metodundan istifadə etməklə edilə bilər (aşağıya bax).

    kripto ikev2 avtorizasiya siyasəti FlexClient-müəllif

    CE marşrutlaşdırıcısının arxasındakı şəbəkələrə marşrut – CE və PE arasında statik marşrutlaşdırma üçün məcburi parametr. Marşrut məlumatlarının PE-yə ötürülməsi tunel IKEv2 qarşılıqlı əlaqəsi vasitəsilə qaldırıldıqda avtomatik olaraq həyata keçirilir.

    marşrut seti uzaqdan ipv4 10.1.1.0 255.255.255.0 -Ofis lokal şəbəkəsi
    !
    kripto ikev2 profili BeelineIPSec_profile
    yerli kimlik <login>
    autentifikasiya yerli əvvəlcədən paylaşma
    identifikasiya uzaqdan əvvəlcədən paylaşma
    açarlıq yerli BeelineIPsec_keyring
    aaa avtorizasiya qrupu psk siyahısı qrup-müəllif siyahısı FlexClient-müəllif
    !
    kripto ikev2 müştəri flexvpn BeelineIPsec_flex
    həmyaşıd 1 Beeline_VPNHub
    müştəri Tunel 1 əlaqəsi
    !
    kripto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
    rejim tuneli
    !
    kripto ipsec profili default
    təyin transform-set TRANSFORM1
    ikev2-profil BeelineIPSec_profile təyin edin
    !
    interfeys Tunel1
    ip ünvanı 10.20.1.2 255.255.255.252 -Tunel ünvanı
    tunel mənbəyi GigabitEthernet0/2 – İnternetə çıxış interfeysi
    tunel rejimi ipsec ipv4
    tunel təyinat dinamikası
    tunel mühafizəsi ipsec profili default
    !
    Beeline VPN konsentratoru vasitəsilə əldə edilə bilən müştərinin şəxsi şəbəkələrinə marşrutlar statik olaraq təyin edilə bilər.

    ip marşrutu 172.16.0.0 255.255.0.0 Tunel1
    ip marşrutu 192.168.0.0 255.255.255.0 Tunel1

    Huawei üçün seçim (ar160/120):
    ike yerli adı <giriş>
    #
    acl adı ipsec 3999
    qayda 1 icazə ip mənbəyi 10.1.1.0 0.0.0.255 -Ofis lokal şəbəkəsi
    #
    aaa
    IPSEC xidmət sxemi
    Marşrut dəsti acl 3999
    #
    ipsec təklifi ipsec
    esp autentifikasiya alqoritmi sha2-256
    esp şifrələmə alqoritmi aes-256
    #
    ike təklifi defolt
    şifrələmə alqoritmi aes-256
    dh qrupu2
    autentifikasiya alqoritmi sha2-256
    autentifikasiya-metodu əvvəlcədən paylaşma
    bütövlük alqoritmi hmac-sha2-256
    prf hmac-sha2-256
    #
    ike peer ipsec
    əvvəlcədən paylaşılan açar sadə <Autentifikasiya parolu>
    yerli-id tipli fqdn
    uzaqdan id tipli ip
    uzaq ünvan 62.141.99.183 -VPN mərkəzi Beeline
    IPSEC xidmət sxemi
    konfiqurasiya mübadilə sorğusu
    konfiqurasiya mübadilə dəsti qəbul edir
    config-exchange set göndərin
    #
    ipsec profili ipsecprof
    ike-peer ipsec
    təklif ipsec
    #
    interfeys Tunel0/0/0
    ip ünvanı 10.20.1.2 255.255.255.252 -Tunel ünvanı
    tunel-protokol ipsec
    mənbə GigabitEthernet0/0/1 – İnternetə çıxış interfeysi
    ipsec profili ipsecprof
    #
    Beeline VPN konsentratoru vasitəsilə əldə edilə bilən müştərinin şəxsi şəbəkələrinə marşrutlar statik olaraq təyin edilə bilər.

    ip marşrutu-statik 192.168.0.0 255.255.255.0 Tunel0/0/0
    ip marşrutu-statik 172.16.0.0 255.255.0.0 Tunel0/0/0

Nəticə əlaqə diaqramı belə görünür:

IPSec vasitəsilə IPVPN Beeline-a necə çatmaq olar. 1-ci hissə

Müştərinin bəzi əsas konfiqurasiya nümunələri yoxdursa, biz adətən onların formalaşmasına kömək edirik və onları hamı üçün əlçatan edirik.

Yalnız CPE-ni İnternetə qoşmaq, VPN tunelinin cavab hissəsinə və VPN daxilindəki hər hansı hosta ping göndərməkdir və bu, əlaqənin qurulduğunu güman edə bilərik.

Növbəti məqalədə bu sxemi Huawei CPE-dən istifadə edərək IPSec və MultiSIM Redundancy ilə necə birləşdirdiyimizi sizə xəbər verəcəyik: biz müştərilər üçün Huawei CPE-ni quraşdırırıq, onlar təkcə simli İnternet kanalından deyil, həm də 2 müxtəlif SİM kartdan və CPE-dən istifadə edə bilirlər. IPSec tunelini ya simli WAN və ya radio (LTE#1/LTE#2) vasitəsilə avtomatik olaraq yenidən qurur və nəticədə yaranan xidmətin yüksək nasazlıqlara dözümlülüyünü həyata keçirir.

Bu məqaləni hazırlayan RnD həmkarlarımıza (və əslində bu texniki həllərin müəlliflərinə) xüsusi təşəkkür edirik!

Mənbə: www.habr.com

Добавить комментарий