ProHoster > blog > Gweinyddiaeth > Sut i gyrraedd IPVPN Beeline trwy IPSec. Rhan 1

Sut i gyrraedd IPVPN Beeline trwy IPSec. Rhan 1

Helo! YN swydd flaenorol Disgrifiais waith ein gwasanaeth MultiSIM yn rhannol amheuon и cydbwyso sianeli. Fel y crybwyllwyd, rydym yn cysylltu cleientiaid â'r rhwydwaith trwy VPN, a heddiw byddaf yn dweud ychydig mwy wrthych am VPN a'n galluoedd yn y rhan hon.

Mae'n werth dechrau gyda'r ffaith bod gennym ni, fel gweithredwr telathrebu, ein rhwydwaith MPLS enfawr ein hunain, sydd ar gyfer cwsmeriaid llinell sefydlog wedi'i rannu'n ddau brif segment - yr un a ddefnyddir yn uniongyrchol i gael mynediad i'r Rhyngrwyd, a'r un sydd a ddefnyddir i greu rhwydweithiau ynysig - a thrwy'r segment MPLS hwn y mae traffig IPVPN (L3 OSI) a VPLAN (L2 OSI) yn llifo ar gyfer ein cleientiaid corfforaethol.

Sut i gyrraedd IPVPN Beeline trwy IPSec. Rhan 1
Yn nodweddiadol, mae cysylltiad cleient yn digwydd fel a ganlyn.

Gosodir llinell fynediad i swyddfa'r cleient o Bwynt Presenoldeb agosaf y rhwydwaith (nod MEN, RRL, BSSS, FTTB, ac ati) ac ymhellach, mae'r sianel wedi'i chofrestru trwy'r rhwydwaith trafnidiaeth i'r PE-MPLS cyfatebol llwybrydd, yr ydym yn ei allbynnu i gleient a grëwyd yn arbennig ar gyfer y cleient VRF, gan ystyried y proffil traffig sydd ei angen ar y cleient (dewisir labeli proffil ar gyfer pob porthladd mynediad, yn seiliedig ar y gwerthoedd blaenoriaeth ip 0,1,3,5, XNUMX).

Os am ​​ryw reswm na allwn drefnu'r filltir olaf yn llawn ar gyfer y cleient, er enghraifft, mae swyddfa'r cleient wedi'i lleoli mewn canolfan fusnes, lle mae darparwr arall yn flaenoriaeth, neu yn syml nid oes gennym ein pwynt presenoldeb gerllaw, yna cleientiaid yn flaenorol roedd yn rhaid i chi greu sawl rhwydwaith IPVPN mewn gwahanol ddarparwyr (nid y bensaernïaeth fwyaf cost-effeithiol) neu ddatrys problemau'n annibynnol gyda threfnu mynediad i'ch VRF dros y Rhyngrwyd.

Gwnaeth llawer hyn trwy osod porth Rhyngrwyd IPVPN - fe wnaethon nhw osod llwybrydd ffin (caledwedd neu ryw ddatrysiad seiliedig ar Linux), cysylltu sianel IPVPN ag ef ag un porthladd a sianel Rhyngrwyd â'r llall, lansio eu gweinydd VPN arno a chysylltu defnyddwyr trwy eu porth VPN eu hunain. Yn naturiol, mae cynllun o'r fath hefyd yn creu beichiau: rhaid adeiladu seilwaith o'r fath ac, yn fwyaf anghyfleus, ei weithredu a'i ddatblygu.

Er mwyn gwneud bywyd yn haws i'n cleientiaid, fe wnaethom osod canolbwynt VPN canolog a threfnu cefnogaeth ar gyfer cysylltiadau dros y Rhyngrwyd gan ddefnyddio IPSec, hynny yw, nawr dim ond angen i gleientiaid ffurfweddu eu llwybrydd i weithio gyda'n hyb VPN trwy dwnnel IPSec dros unrhyw Rhyngrwyd cyhoeddus , ac rydym yn Gadewch i ni ryddhau traffig y cleient hwn i'w VRF.

Pwy fydd angen

  • I'r rhai sydd eisoes â rhwydwaith IPVPN mawr ac angen cysylltiadau newydd mewn amser byr.
  • Unrhyw un sydd, am ryw reswm, eisiau trosglwyddo rhan o'r traffig o'r Rhyngrwyd cyhoeddus i IPVPN, ond sydd wedi dod ar draws cyfyngiadau technegol sy'n gysylltiedig â sawl darparwr gwasanaeth yn flaenorol.
  • I'r rhai sydd â sawl rhwydwaith VPN gwahanol ar hyn o bryd ar draws gwahanol weithredwyr telathrebu. Mae yna gleientiaid sydd wedi trefnu IPVPN yn llwyddiannus o Beeline, Megafon, Rostelecom, ac ati. Er mwyn ei gwneud hi'n haws, gallwch chi aros ar ein VPN sengl yn unig, newid holl sianeli eraill gweithredwyr eraill i'r Rhyngrwyd, ac yna cysylltu â Beeline IPVPN trwy IPSec a'r Rhyngrwyd gan y gweithredwyr hyn.
  • I'r rhai sydd eisoes â rhwydwaith IPVPN wedi'i droshaenu ar y Rhyngrwyd.

Os ydych chi'n defnyddio popeth gyda ni, yna mae cleientiaid yn derbyn cefnogaeth VPN llawn, diswyddiad seilwaith difrifol, a gosodiadau safonol a fydd yn gweithio ar unrhyw lwybrydd y maen nhw wedi arfer ag ef (boed yn Cisco, hyd yn oed Mikrotik, y prif beth yw y gall gefnogi'n iawn IPSec/IKEv2 gyda dulliau dilysu safonol). Gyda llaw, am IPSec - ar hyn o bryd dim ond ei gefnogi rydyn ni'n ei gefnogi, ond rydyn ni'n bwriadu lansio gweithrediad llawn OpenVPN a Wireguard, fel na all cleientiaid ddibynnu ar y protocol ac mae hyd yn oed yn haws cymryd a throsglwyddo popeth i ni, ac rydym hefyd am ddechrau cysylltu cleientiaid o gyfrifiaduron a dyfeisiau symudol (atebion wedi'u hymgorffori yn yr OS, Cisco AnyConnect a strongSwan ac ati). Gyda'r dull hwn, gellir trosglwyddo'r gwaith adeiladu de facto o'r seilwaith yn ddiogel i'r gweithredwr, gan adael dim ond cyfluniad y CPE neu'r gwesteiwr.

Sut mae'r broses gysylltu yn gweithio ar gyfer modd IPSec:

  1. Mae'r cleient yn gadael cais i'w reolwr lle mae'n nodi'r cyflymder cysylltu gofynnol, y proffil traffig a'r paramedrau cyfeiriad IP ar gyfer y twnnel (yn ddiofyn, is-rwydwaith gyda mwgwd /30) a'r math o lwybriad (statig neu BGP). Er mwyn trosglwyddo llwybrau i rwydweithiau lleol y cleient yn y swyddfa gysylltiedig, defnyddir mecanweithiau IKEv2 cyfnod protocol IPSec gan ddefnyddio'r gosodiadau priodol ar lwybrydd y cleient, neu fe'u hysbysebir trwy BGP yn MPLS o'r BGP AS preifat a nodir yng nghais y cleient . Felly, mae gwybodaeth am lwybrau rhwydweithiau cleientiaid yn cael ei reoli'n llwyr gan y cleient trwy osodiadau llwybrydd y cleient.
  2. Mewn ymateb gan ei reolwr, mae’r cleient yn derbyn data cyfrifo i’w gynnwys yn ei VRF o’r ffurflen:
    • Cyfeiriad IP VPN-HUB
    • Mewngofnodi
    • Cyfrinair dilysu
  3. Yn ffurfweddu CPE, isod, er enghraifft, dau opsiwn cyfluniad sylfaenol:

    Opsiwn ar gyfer Cisco:
    cylch allweddi crypto ikev2 BeelineIPsec_keyring
    cyfoedion Beeline_VPNHub
    mynd i'r afael â 62.141.99.183 – canolbwynt VPN Beeline
    cyn-rhannu-allwedd <Cyfrinair dilysu>
    !
    Ar gyfer yr opsiwn llwybro statig, gellir nodi llwybrau i rwydweithiau sy'n hygyrch trwy'r Vpn-hub yn y ffurfweddiad IKEv2 a byddant yn ymddangos yn awtomatig fel llwybrau sefydlog yn y tabl llwybro CE. Gellir gwneud y gosodiadau hyn hefyd gan ddefnyddio'r dull safonol o osod llwybrau sefydlog (gweler isod).

    polisi awdurdodi crypto ikev2 FlexClient-awdur

    Llwybr i rwydweithiau y tu ôl i'r llwybrydd CE - gosodiad gorfodol ar gyfer llwybro statig rhwng CE ac PE. Mae trosglwyddo data llwybr i'r PE yn cael ei wneud yn awtomatig pan godir y twnnel trwy ryngweithio IKEv2.

    llwybr gosod o bell ipv4 10.1.1.0 255.255.255.0 - Rhwydwaith lleol y swyddfa
    !
    proffil crypto ikev2 BeelineIPSec_profile
    hunaniaeth <login> lleol
    rhag-rhannu lleol dilysu
    rhag-rhannu o bell dilysu
    cylch allweddi lleol BeelineIPsec_keyring
    grŵp awdurdodi aaa rhestr psk grŵp-awdur-rhestr FlexClient-awdur
    !
    cleient crypto ikev2 flexvpn BeelineIPsec_flex
    cyfoedion 1 Beeline_VPNHub
    cleient cysylltu Twnnel1
    !
    crypto ipsec trawsnewid-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
    twnnel modd
    !
    diofyn proffil crypto ipsec
    set trawsnewid-set TRANSFORM1
    gosod proffil ikev2 BeelineIPSec_profile
    !
    Twnnel rhyngwyneb1
    cyfeiriad ip 10.20.1.2 255.255.255.252 – cyfeiriad twnnel
    ffynhonnell twnnel GigabitEthernet0/2 - Rhyngwyneb mynediad rhyngrwyd
    modd twnnel ipsec ipv4
    cyrchfan twnnel deinamig
    amddiffyn rhagosodiad proffil ipsec twnnel
    !
    Gellir gosod llwybrau i rwydweithiau preifat y cleient sy'n hygyrch trwy grynodydd Beeline VPN yn statig.

    llwybr ip 172.16.0.0 255.255.0.0 Twnnel1
    llwybr ip 192.168.0.0 255.255.255.0 Twnnel1

    Opsiwn ar gyfer Huawei (ar160/120):
    ike enw lleol <login>
    #
    acl enw ipsec 3999
    rheol 1 trwydded ffynhonnell ip 10.1.1.0 0.0.0.255 - Rhwydwaith lleol y swyddfa
    #
    aaa
    cynllun gwasanaeth IPSEC
    set llwybr acl 3999
    #
    cynnig ipsec ipsec
    esp dilysu-algorithm sha2-256
    esp amgryptio-algorithm aes-256
    #
    ike cynnig diofyn
    amgryptio-algorithm aes-256
    grŵp dh2
    dilysu-algorithm sha2-256
    dilysu-rhannu dull
    cyfanrwydd-algorithm hmac-sha2-256
    prf hmac-sha2-256
    #
    ike cyfoedion ipsec
    cyn-rhannu-allwedd syml <Cyfrinair Dilysu>
    lleol-id-math fqdn
    ip math o bell-id
    cyfeiriad o bell 62.141.99.183 – canolbwynt VPN Beeline
    cynllun gwasanaeth IPSEC
    config-cyfnewid cais
    config-cyfnewid set derbyn
    config-exchange set anfon
    #
    proffil ipsec ipsecprof
    ike-peer ipsec
    cynnig ipsec
    #
    rhyngwyneb Twnnel0/0/0
    cyfeiriad ip 10.20.1.2 255.255.255.252 – cyfeiriad twnnel
    twnnel-protocol ipsec
    ffynhonnell GigabitEthernet0/0/1 - Rhyngwyneb mynediad rhyngrwyd
    proffil ipsec ipsecprof
    #
    Gellir gosod llwybrau i rwydweithiau preifat y cleient sy'n hygyrch trwy grynodydd Beeline VPN yn statig

    llwybr ip-statig 192.168.0.0 255.255.255.0 Twnnel0/0/0
    llwybr ip-statig 172.16.0.0 255.255.0.0 Twnnel0/0/0

Mae'r diagram cyfathrebu dilynol yn edrych fel hyn:

Sut i gyrraedd IPVPN Beeline trwy IPSec. Rhan 1

Os nad oes gan y cleient rai enghreifftiau o'r cyfluniad sylfaenol, yna rydym fel arfer yn helpu gyda'u ffurfio ac yn sicrhau eu bod ar gael i bawb arall.

Y cyfan sydd ar ôl yw cysylltu'r CPE â'r Rhyngrwyd, ping i'r rhan ymateb o'r twnnel VPN ac unrhyw westeiwr y tu mewn i'r VPN, a dyna ni, gallwn dybio bod y cysylltiad wedi'i wneud.

Yn yr erthygl nesaf byddwn yn dweud wrthych sut y gwnaethom gyfuno'r cynllun hwn ag IPSec ac MultiSIM Diswyddiad gan ddefnyddio Huawei CPE: rydym yn gosod ein Huawei CPE ar gyfer cleientiaid, a all ddefnyddio nid yn unig sianel Rhyngrwyd â gwifrau, ond hefyd 2 gerdyn SIM gwahanol, a'r CPE yn ailadeiladu twnnel IPSec yn awtomatig naill ai trwy WAN â gwifrau neu drwy radio (LTE#1/LTE#2), gan sylweddoli goddefgarwch namau uchel o'r gwasanaeth canlyniadol.

Diolch yn arbennig i'n cydweithwyr RnD am baratoi'r erthygl hon (ac, mewn gwirionedd, i awduron yr atebion technegol hyn)!

Ffynhonnell: hab.com

Ychwanegu sylw