ProHoster > Blog > Administrazioa > Nola iritsi IPVPN Beelinera IPSec bidez. 1. zatia

Nola iritsi IPVPN Beelinera IPSec bidez. 1. zatia

Kaixo! IN aurreko mezua Gure MultiSIM zerbitzuaren lana zati batean deskribatu nuen erreserbak ΠΈ orekatzeko kanalak. Esan bezala, bezeroak sarera konektatzen ditugu VPN bidez, eta gaur VPN eta gure gaitasunei buruz apur bat gehiago kontatuko dizuet zati honetan.

Merezi du hastea, telekomunikazio-operadore gisa, gure MPLS sare erraldoia dugula, linea finkoko bezeroentzat bi segmentu nagusitan banatzen dena: zuzenean Internetera sartzeko erabiltzen dena, eta bestea. sare isolatuak sortzeko erabiltzen da, eta MPLS segmentu honen bidez IPVPN (L3 OSI) eta VPLAN (L2 OSI) trafikoa gure bezero korporatiboetarako fluxua da.

Nola iritsi IPVPN Beelinera IPSec bidez. 1. zatia
Normalean, bezeroaren konexioa honela gertatzen da.

Sarbide-lerro bat jartzen da bezeroaren bulegora sareko Presentzia-puntu hurbilenetik (MEN, RRL, BSSS, FTTB nodoa, etab.) eta, gainera, kanala garraio sarearen bidez erregistratzen da dagokion PE-MPLSra. bideratzailea, eta bertan VRF bezeroarentzat bereziki sortutako batera ateratzen dugu, bezeroak behar duen trafiko-profila kontuan hartuta (profilaren etiketak aukeratzen dira sarbide-ataku bakoitzeko, ip lehentasun-balioetan oinarrituta 0,1,3,5, XNUMX).

Arrazoiren batengatik ezin badugu bezeroarentzako azken kilometroa guztiz antolatu, adibidez, bezeroaren bulegoa negozio-zentro batean kokatuta dago, non beste hornitzaile batek lehentasuna duen, edo, besterik gabe, gure presentzia-puntua gertu ez badugu, aurretik bezeroak. Hainbat IPVPN sare sortu behar izan ditu hornitzaile ezberdinetan (ez da arkitekturarik errentagarriena) edo modu independentean konpondu behar izan ditu zure VRFrako sarbidea Internet bidez antolatzeko arazoak.

Askok IPVPN Interneteko atebide bat instalatuz egin zuten: mugako bideratzaile bat (hardwarea edo Linux-en oinarritutako irtenbideren bat) instalatu zuten, IPVPN kanal bat konektatu zuten ataka batekin eta Interneteko kanal bat bestearekin, bere VPN zerbitzaria abiarazi zuten bertan eta konektatu ziren. erabiltzaileek beren VPN atebidearen bidez. Berez, horrelako eskemak zamak ere sortzen ditu: azpiegitura horiek eraiki eta, eragozkienik, ustiatu eta garatu behar dira.

Gure bezeroei bizitza errazteko, VPN zentro zentralizatu bat instalatu dugu eta Internet bidezko konexioetarako laguntza antolatu dugu IPSec erabiliz, hau da, orain bezeroek routerra bakarrik konfiguratu behar dute gure VPN zentroarekin lan egiteko IPSec tunel baten bidez edozein Internet publikotan. , eta askatu dezagun bezero honen trafikoa bere VRFra.

Nork beharko du

  • IPVPN sare handia dutenentzat eta denbora gutxian konexio berriak behar dituztenentzat.
  • Arrazoiren batengatik trafikoaren zati bat Internet publikotik IPVPNra transferitu nahi duen edonork, baina aurretik hainbat zerbitzu-hornitzailerekin lotutako muga teknikoak topatu dituenak.
  • Gaur egun telekomunikazio-operadore ezberdinetan hainbat VPN sare desberdin dituztenentzat. Beeline, Megafon, Rostelecom eta abarretatik IPVPN arrakastaz antolatu duten bezeroak daude. Errazagoa izan dadin, gure VPN bakarrean bakarrik egon zaitezke, beste operadoreen beste kanal guztiak Internetera aldatu eta, ondoren, Beeline IPVPNra konekta zaitezke IPSec bidez eta Internetera operadore hauetatik.
  • Dagoeneko IPVPN sare bat Interneten gainjarrita dutenentzat.

Dena gurekin zabaltzen baduzu, orduan bezeroek VPN laguntza osoa, azpiegitura erredundantzia serioa eta ohituta dauden edozein bideratzailetan funtzionatuko duten ezarpen estandarrak jasoko dituzte (izan Cisco, baita Mikrotik ere, gauza nagusia behar bezala onartzen duela da. IPSec/IKEv2 autentifikazio metodo estandarizatuekin). Bide batez, IPSec-i buruz - oraintxe bakarrik onartzen dugu, baina OpenVPN eta Wireguard-en funtzionamendu osoa abiarazteko asmoa dugu, bezeroak protokoloaren mende egon ez daitezen eta dena hartu eta transferitzea are errazagoa izan dadin. eta bezeroak ordenagailuetatik eta gailu mugikorretatik konektatzen ere hasi nahi dugu (OSan integratutako soluzioak, Cisco AnyConnect eta strongSwan eta antzekoak). Planteamendu honekin, de facto azpiegituraren eraikuntza operadorearen esku utz daiteke segurtasunez, CPE edo ostalariaren konfigurazioa soilik utziz.

Nola funtzionatzen du konexio prozesuak IPSec moduan:

  1. Bezeroak eskaera bat uzten dio bere kudeatzaileari, non tunelerako beharrezkoa den konexio-abiadura, trafiko-profila eta IP helbideratze-parametroak (lehenespenez, /30 maskara duen azpisarea) eta bideratze mota (estatikoa edo BGP) adierazten dituen. Konektatutako bulegoan bezeroaren sare lokaletara ibilbideak transferitzeko, IPSec protokolo faseko IKEv2 mekanismoak bezeroaren bideratzailearen ezarpen egokiak erabiliz erabiltzen dira, edo BGP bidez iragartzen dira MPLS-n bezeroaren aplikazioan zehaztutako BGP AS pribatutik. . Horrela, bezeroen sareen ibilbideei buruzko informazioa bezeroak guztiz kontrolatzen du bezeroaren bideratzailearen ezarpenen bidez.
  2. Bere kudeatzailearen erantzunez, bezeroak kontabilitate-datuak jasotzen ditu bere VRF-an inprimakian sartzeko:
    • VPN-HUB IP helbidea
    • Saioa hasi
    • Autentifikazio pasahitza
  3. CPE konfiguratzen du, azpian, adibidez, oinarrizko bi konfigurazio aukera:

    Ciscorako aukera:
    crypto ikev2 giltza-giltza BeelineIPsec_keyring
    parekidea Beeline_VPNHub
    helbidea 62.141.99.183 –VPN hub Beeline
    pre-shared-key <Autentifikazio pasahitza>
    !
    Bideratze estatikorako aukerarako, Vpn-hub-aren bidez sar daitezkeen sareetarako ibilbideak zehaztu daitezke IKEv2 konfigurazioan eta automatikoki bide estatiko gisa agertuko dira CE bideratze-taulan. Ezarpen hauek ibilbide estatikoak ezartzeko metodo estandarra erabiliz ere egin daitezke (ikus behean).

    crypto ikev2 baimen-politika FlexClient-author

    Bidera ezazu CE bideratzailearen atzean dauden sareetara - CE eta PE arteko bideratze estatikorako derrigorrezko ezarpena. Ibilbidearen datuak PEra transferitzea automatikoki egiten da tunela IKEv2 interakzioaren bidez igotzen denean.

    ibilbide multzoa urruneko ipv4 10.1.1.0 255.255.255.0 –Bulegoko sare lokala
    !
    crypto ikev2 profila BeelineIPSec_profile
    identitate lokala <saioa>
    autentifikazio lokala aurrez partekatzea
    autentifikazioa urruneko partekatzea
    BeelineIPsec_keyring lokala
    aaa baimen-taldea psk zerrenda taldea-egile-zerrenda FlexClient-egilea
    !
    crypto ikev2 bezeroa flexvpn BeelineIPsec_flex
    peer 1 Beeline_VPNHub
    bezeroa konektatu Tunnel1
    !
    crypto ipsec transformazio-multzoa TRANSFORM1 esp-aes 256 esp-sha256-hmac
    moduko tunela
    !
    crypto ipsec profil lehenetsia
    multzo transforma-multzo TRANSFORM1
    ezarri ikev2-profile BeelineIPSec_profile
    !
    interfazea Tunela 1
    ip helbidea 10.20.1.2 255.255.255.252 –Tunela helbidea
    tunelaren iturria GigabitEthernet0/2 –Interneterako sarbidea interfazea
    tunel modua ipsec ipv4
    tunelaren helmuga dinamika
    tunelaren babesa ipsec profil lehenetsia
    !
    Beeline VPN kontzentratzailearen bidez eskuragarri dauden bezeroaren sare pribatuetarako bideak estatikoki ezar daitezke.

    ip ibilbidea 172.16.0.0 255.255.0.0 Tunnel1
    ip ibilbidea 192.168.0.0 255.255.255.0 Tunnel1

    Huaweirako aukera (ar160/120):
    Ike tokiko izena <saioa>
    #
    acl izena ipsec 3999
    1. araua baimendu ip iturria 10.1.1.0 0.0.0.255 –Bulegoko sare lokala
    #
    aaa
    zerbitzu-eskema IPSEC
    ibilbide multzoa acl 3999
    #
    ipsec proposamena ipsec
    esp autentifikazio-algoritmo sha2-256
    esp zifratze-algoritmoa aes-256
    #
    Ike proposamena lehenetsia
    zifratze-algoritmoa aes-256
    dh taldea 2
    autentifikazio-algoritmo sha2-256
    autentifikazio-metodoa aurrez partekatzea
    osotasun-algoritmoa hmac-sha2-256
    prf hmac-sha2-256
    #
    ike peer ipsec
    pre-shared-key simple <Autentifikazio pasahitza>
    lokal-id-mota fqdn
    urruneko-id motako ip
    urruneko helbidea 62.141.99.183 –VPN hub Beeline
    zerbitzu-eskema IPSEC
    konfigurazio-truke eskaera
    config-exchange multzoa onartu
    konfig-truke multzoa bidali
    #
    ipsec profila ipsecprof
    ike-peer ipsec
    proposamena ipsec
    #
    interfazea Tunela0/0/0
    ip helbidea 10.20.1.2 255.255.255.252 –Tunela helbidea
    tunel-protokolo ipsec
    GigabitEthernet iturria0/0/1 –Interneterako sarbidea interfazea
    ipsec profila ipsecprof
    #
    Beeline VPN kontzentratzailearen bidez eskuragarri dauden bezeroaren sare pribatuetarako bideak estatikoki ezar daitezke

    ip ibilbidea-estatikoa 192.168.0.0 255.255.255.0 Tunela0/0/0
    ip ibilbidea-estatikoa 172.16.0.0 255.255.0.0 Tunela0/0/0

Ondorioz, komunikazio diagramak honelako itxura du:

Nola iritsi IPVPN Beelinera IPSec bidez. 1. zatia

Bezeroak oinarrizko konfigurazioaren adibide batzuk ez baditu, normalean haien eraketan laguntzen dugu eta beste guztien eskura jartzen ditugu.

CPE Internetera konektatzea besterik ez da geratzen, VPN tunelaren erantzun zatiari eta VPN barruko edozein ostalariri ping egitea, eta kito, konexioa egin dela pentsa dezakegu.

Hurrengo artikuluan kontatuko dizugu nola konbinatu dugun eskema hau IPSec eta MultiSIM erredundantzia Huawei CPE erabiliz: gure Huawei CPE bezeroentzat instalatzen dugu, kable bidezko Interneteko kanal bat ez ezik, 2 SIM txartel ezberdin ere erabil ditzaketen eta CPE. automatikoki berreraikitzen du IPSec- tunela kabledun WAN bidez edo irrati bidez (LTE#1/LTE#2), ondoriozko zerbitzuaren akatsen tolerantzia handia lortuz.

Esker bereziak gure RnDko lankideei artikulu hau prestatzeagatik (eta, hain zuzen ere, irtenbide tekniko horien egileei)!

Iturria: www.habr.com

Gehitu iruzkin berria