ProHoster > Blag > Riarachán > Conas dul go IPVPN Beeline trí IPSec. Cuid 1

Conas dul go IPVPN Beeline trí IPSec. Cuid 1

Dia dhuit! IN post roimhe seo Rinne mé cur síos go páirteach ar obair ár seirbhíse MultiSIM áirithintí и cothromaithe cainéil. Mar a luadh, nascaimid cliaint leis an líonra trí VPN, agus inniu inseoidh mé beagán níos mó duit faoi VPN agus ár gcumas sa chuid seo.

Is fiú tosú leis an bhfíric go bhfuil ár líonra MPLS ollmhór féin againn, mar oibreoir teileachumarsáide, atá roinnte ina dhá phríomhchuid do chustaiméirí seasta - an ceann a úsáidtear go díreach chun rochtain a fháil ar an Idirlíon, agus an ceann atá a úsáidtear chun líonraí iargúlta a chruthú — agus is tríd an mír MPLS seo a shreabhann trácht IPVPN (L3 OSI) agus VPLAN (L2 OSI) dár gcliaint chorparáideach.

Conas dul go IPVPN Beeline trí IPSec. Cuid 1
De ghnáth, tarlaíonn nasc cliant mar seo a leanas.

Leagtar líne rochtana chuig oifig an chliaint ón bPointe Láithreachais is gaire den líonra (nód MEN, RRL, BSSS, FTTB, etc.) agus ina theannta sin, cláraítear an cainéal tríd an ngréasán iompair chuig an PE-MPLS comhfhreagrach ródaire, ar a ndéanaimid é a aschur chuig cliant atá cruthaithe go speisialta don chliant VRF, ag cur san áireamh an phróifíl tráchta atá ag teastáil ón gcliant (roghnaítear lipéid phróifíle do gach calafort rochtana, bunaithe ar luachanna tosaíochta ip 0,1,3,5, XNUMX).

Más rud é ar chúis éigin nach féidir linn an míle deireanach a eagrú go hiomlán don chliant, mar shampla, go bhfuil oifig an chliaint lonnaithe in ionad gnó, áit a bhfuil soláthraí eile mar thosaíocht, nó nach bhfuil ár bpointe láithreachta againn in aice láimhe, ansin cliaint roimhe seo. bhí orthu roinnt líonraí IPVPN a chruthú ag soláthraithe éagsúla (ní an ailtireacht is cost-éifeachtaí) nó saincheisteanna a réiteach go neamhspleách maidir le rochtain ar do VRF thar an Idirlíon a eagrú.

Rinne go leor é seo trí gheata Idirlín IPVPN a shuiteáil - chuir siad isteach ródaire teorann (crua-earraí nó réiteach éigin bunaithe ar Linux), cheangail siad cainéal IPVPN leis le calafort amháin agus cainéal Idirlín leis an gceann eile, sheol siad a bhfreastalaí VPN air agus cheangail siad é. úsáideoirí trína ngeata VPN féin. Ar ndóigh, cruthaíonn a leithéid de scéim ualaí freisin: ní mór bonneagar den sórt sin a thógáil agus, ar an ábhar is deacra, a oibriú agus a fhorbairt.

Chun an saol a dhéanamh níos éasca dár gcliaint, chuireamar isteach mol VPN láraithe agus d’eagraíomar tacaíocht do naisc thar an Idirlíon ag baint úsáide as IPSec, is é sin, anois ní gá do chliaint ach a ródaire a chumrú chun oibriú lenár mol VPN trí thollán IPSec thar aon Idirlíon poiblí , agus táimid Lig dúinn trácht an chliaint seo a scaoileadh chuig a VRF.

Cé a bheidh úsáideach?

  • Dóibh siúd a bhfuil líonra mór IPVPN acu cheana féin agus a dteastaíonn naisc nua uathu i mbeagán ama.
  • Duine ar bith atá, ar chúis éigin, ag iarraidh cuid den trácht a aistriú ón Idirlíon poiblí go IPVPN, ach a bhfuil teorainneacha teicniúla bainte amach acu roimhe seo a bhaineann le roinnt soláthraithe seirbhíse.
  • Dóibh siúd a bhfuil roinnt líonraí VPN éagsúla acu faoi láthair thar oibreoirí teileachumarsáide éagsúla. Tá cliaint ann a d'eagraigh IPVPN go rathúil ó Beeline, Megafon, Rostelecom, etc. Chun é a dhéanamh níos éasca, ní féidir leat fanacht ach ar ár VPN aonair, gach cainéal oibreoirí eile a aistriú chuig an Idirlíon, agus ansin ceangal le Beeline IPVPN trí IPSec agus an Idirlíon ó na hoibreoirí sin.
  • Dóibh siúd a bhfuil líonra IPVPN forleagtha acu ar an Idirlíon cheana féin.

Má imscarann ​​tú gach rud linn, faigheann cliaint tacaíocht VPN lán-chuimsitheach, iomarcaíocht thromchúiseach bonneagair, agus socruithe caighdeánacha a oibreoidh ar aon ródaire a bhfuil taithí acu orthu (cisco, fiú Mikrotik, is é an rud is mó ná gur féidir leis tacú i gceart leis. IPSec/IKEv2 le modhanna caighdeánaithe fíordheimhnithe). Dála an scéil, faoi IPSec - faoi láthair ní thacaímid ach leis, ach tá sé beartaithe againn oibríocht iomlán OpenVPN agus Wireguard a sheoladh, ionas nach féidir le cliaint brath ar an bprótacal agus tá sé níos éasca fós gach rud a ghlacadh agus a aistriú chugainn, agus ba mhaith linn freisin chun tús a chur le nascadh le cliaint ó ríomhairí agus gléasanna soghluaiste (réitigh a tógadh isteach an OS, Cisco AnyConnect agus strongSwan agus a leithéidí). Leis an gcur chuige seo, is féidir tógáil de facto an bhonneagair a thabhairt ar láimh go sábháilte don oibreoir, ag fágáil cumraíocht an CPE nó an óstaigh amháin.

Conas a oibríonn an próiseas nasctha le haghaidh mód IPSec:

  1. Fágann an cliant iarratas chuig a bhainisteoir ina léiríonn sé an luas nasctha riachtanach, próifíl tráchta agus paraiméadair seoltaí IP don tollán (de réir réamhshocraithe, folíon le masc /30) agus an cineál ródaithe (statach nó BGP). Chun bealaí a aistriú chuig líonraí áitiúla an chliaint san oifig nasctha, úsáidtear meicníochtaí IKEv2 de chéim an phrótacail IPSec ag ​​baint úsáide as na socruithe cuí ar ródaire an chliaint, nó déantar iad a fhógairt trí BGP in MPLS ón BGP AS príobháideach atá sonraithe in iarratas an chliaint. . Mar sin, tá faisnéis faoi bhealaí líonraí cliant á rialú go hiomlán ag an gcliant trí shocruithe an ródaire cliaint.
  2. Mar fhreagra óna bhainisteoir, faigheann an cliant sonraí cuntasaíochta lena gcur san áireamh ina VRF ar an bhfoirm:
    • Seoladh IP VPN-HUB
    • Logáil isteach
    • Pasfhocal fíordheimhnithe
  3. Cumraíonn sé CPE, thíos, mar shampla, dhá bhunrogha cumraíochta:

    Rogha le haghaidh Cisco:
    Fáinne eochrach crypto ikev2 BeelineIPsec_keyring
    piaraí Beeline_VPNHub
    seoladh 62.141.99.183 – mol VPN Beeline
    réamh-roinnte-eochair <Focal faire fíordheimhnithe>
    !
    Maidir leis an rogha ródaithe statach, is féidir bealaí chuig líonraí a bhfuil rochtain orthu tríd an mol Vpn a shonrú i gcumraíocht IKEv2 agus beidh siad le feiceáil go huathoibríoch mar bhealaí statacha sa tábla ródaithe CE. Is féidir na socruithe seo a dhéanamh freisin trí úsáid a bhaint as an modh caighdeánach chun bealaí statacha a shocrú (féach thíos).

    beartas údaraithe crypto ikev2 FlexClient-author

    Bealach chuig líonraí taobh thiar den ródaire CE – socrú éigeantach le haghaidh ródú statach idir CE agus PE. Déantar aistriú sonraí bealaigh chuig an PE go huathoibríoch nuair a ardaítear an tollán trí idirghníomhaíocht IKEv2.

    bealach socraithe iargúlta ipv4 10.1.1.0 255.255.255.0 -Líonra áitiúil oifige
    !
    próifíl crypto ikev2 BeelineIPSec_profile
    aitheantas áitiúil <logáil isteach>
    réamh-scair áitiúil fíordheimhnithe
    réamh-roinnt iargúlta fíordheimhnithe
    fáinne eochair áitiúil BeelineIPsec_keyring
    aaa grúpa údaraithe liosta psk grúpa-údar-liosta FlexClient-údar
    !
    cliant crypto ikev2 flexvpn BeelineIPsec_flex
    piaraí 1 Beeline_VPNHub
    Tollán ceangail cliant1
    !
    crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
    tollán mód
    !
    Réamhshocrú próifíl ipsec crypto
    set transform-set TRANSFORM1
    socraigh próifíl ikev2 BeelineIPSec_profile
    !
    Comhéadan Tollán1
    seoladh ip 10.20.1.2 255.255.255.252 – Seoladh an tolláin
    foinse tollán GigabitEthernet0/2 - Comhéadan rochtana Idirlín
    mód tollán ipsec ipv4
    dinimiciúla ceann scríbe tolláin
    réamhshocraithe próifíl ipsec cosanta tolláin
    !
    Is féidir bealaí chuig líonraí príobháideacha an chliaint atá inrochtana trí chomhdhlúthadán Beeline VPN a shocrú go statach.

    bealach ip 172.16.0.0 255.255.0.0 Tollán1
    bealach ip 192.168.0.0 255.255.255.0 Tollán1

    Rogha do Huawei (ar160/120):
    ike-ainm áitiúil <logáil isteach>
    #
    acl ainm ipsec 3999
    riail 1 cead foinse ip 10.1.1.0 0.0.0.255 -Líonra áitiúil oifige
    #
    AAA
    scéim seirbhíse IPSEC
    bealach leagtha acl 3999
    #
    togra ipsec ipsec
    esp fíordheimhniú-algartam sha2-256
    esp criptiú-algartam aes-256
    #
    ike togra réamhshocraithe
    criptithe-algartam aes-256
    dh grúpa2
    fíordheimhniú-algartam sha2-256
    fíordheimhnithe-modh réamh-scair
    sláine-algartam hmac-sha2-256
    prf hmac-sha2-256
    #
    ike piaraí ipsec
    réamh-roinnte-eochair simplí <Focal faire fíordheimhnithe>
    local-id-cineál fqdn
    ip cianda-id-cineál
    cian-seoladh 62.141.99.183 – mol VPN Beeline
    scéim seirbhíse IPSEC
    iarratas config-malartú
    config-exchange set glacadh leis
    config-exchange set seol
    #
    próifíl ipsec ipsecprof
    ike-piaraí ipsec
    togra ipsec
    #
    comhéadan Tollán0/0/0
    seoladh ip 10.20.1.2 255.255.255.252 – Seoladh an tolláin
    tollán-prótacal ipsec
    foinse GigabitEthernet0/0/1 - Comhéadan rochtana Idirlín
    próifíl ipsec ipsecprof
    #
    Is féidir bealaí chuig líonraí príobháideacha an chliaint atá inrochtana trí chomhdhlúthadán Beeline VPN a shocrú go statach

    bealach ip-statach 192.168.0.0 255.255.255.0 Tollán 0/0/0
    bealach ip-statach 172.16.0.0 255.255.0.0 Tollán 0/0/0

Breathnaíonn an léaráid cumarsáide mar thoradh air seo rud éigin mar seo:

Conas dul go IPVPN Beeline trí IPSec. Cuid 1

Mura bhfuil roinnt samplaí ag an gcliant den chumraíocht bhunúsach, is gnách go gcabhróimid lena bhfoirmiú agus iad a chur ar fáil do gach duine eile.

Níl fágtha ach an CPE a nascadh leis an Idirlíon, ping leis an gcuid freagartha den tollán VPN agus aon óstach laistigh den VPN, agus sin é, is féidir linn glacadh leis go bhfuil an nasc déanta.

Sa chéad alt eile inseoimid duit conas a chomhcheangail muid an scéim seo le IPSec agus Iomarcaíocht MultiSIM ag baint úsáide as Huawei CPE: suiteáilimid ár Huawei CPE do chliaint, ar féidir leo ní hamháin cainéal Idirlín sreangaithe a úsáid, ach freisin 2 chárta SIM éagsúla, agus an CPE déanann sé tollán IPSec a atógáil go huathoibríoch trí WAN sreangaithe nó tríd an raidió (LTE#1/LTE#2), ag baint amach lamháltas ard locht na seirbhíse a thagann as.

Buíochas ar leith lenár gcomhghleacaithe RnD as an alt seo a ullmhú (agus, go deimhin, le húdair na réitigh theicniúla seo)!

Foinse: will.com

Add a comment