ProHoster > Blog > Rianachd > Mar a gheibh thu gu IPVPN Beeline tro IPSec. Pàirt 1

Mar a gheibh thu gu IPVPN Beeline tro IPSec. Pàirt 1

Halò! ANNS post roimhe Thug mi cunntas air obair ar seirbheis MultiSIM gu ìre tèarmainn и cothromachadh seanailean. Mar a chaidh ainmeachadh, bidh sinn a’ ceangal teachdaichean ris an lìonra tro VPN, agus an-diugh innsidh mi beagan a bharrachd dhut mu VPN agus na comasan againn sa phàirt seo.

Is fhiach tòiseachadh leis gu bheil an lìonra MPLS mòr againn fhèin mar ghnìomhaiche cian-chonaltraidh, a tha airson luchd-ceannach loidhne stèidhichte air a roinn ann an dà phrìomh roinn - am fear a thathas a’ cleachdadh gu dìreach airson faighinn chun eadar-lìn, agus am fear a tha air a chleachdadh gus lìonraidhean iomallach a chruthachadh - agus is ann tron ​​​​roinn MPLS seo a bhios trafaic IPVPN (L3 OSI) agus VPLAN (L2 OSI) a’ sruthadh airson ar teachdaichean corporra.

Mar a gheibh thu gu IPVPN Beeline tro IPSec. Pàirt 1
Mar as trice, bidh ceangal teachdaiche a’ tachairt mar a leanas.

Tha loidhne ruigsinneachd air a chuir gu oifis an neach-dèiligidh bhon phuing làthaireachd as fhaisge air an lìonra (node ​​MEN, RRL, BSSS, FTTB, msaa) agus nas fhaide air adhart, tha an sianal clàraichte tron ​​​​lìonra còmhdhail chun PE-MPLS co-fhreagarrach. router, air am bi sinn ga chuir a-mach gu inneal a chaidh a chruthachadh gu sònraichte airson an neach-dèiligidh VRF, a ’toirt aire don phròifil trafaic a dh’ fheumas an neach-dèiligidh (tha bileagan pròifil air an taghadh airson gach port ruigsinneachd, stèidhichte air luachan prìomhachas ip 0,1,3,5, XNUMX).

Mura h-urrainn dhuinn airson adhbhar air choireigin am mìle mu dheireadh a chuir air dòigh don neach-dèiligidh, mar eisimpleir, tha oifis an neach-dèiligidh suidhichte ann an ionad gnìomhachais, far a bheil solaraiche eile na phrìomhachas, no dìreach nach eil ar làthaireachd faisg air làimh, an uairsin teachdaichean roimhe bha agam ri grunn lìonraidhean IPVPN a chruthachadh aig diofar sholaraichean (chan e an ailtireachd as èifeachdaiche a thaobh cosgais) no fuasgladh fhaighinn air cùisean gu neo-eisimeileach le bhith a’ cur air dòigh ruigsinneachd don VRF agad thairis air an eadar-lìn.

Rinn mòran seo le bhith a’ stàladh geata eadar-lìn IPVPN - chuir iad a-steach router crìche (bathar-cruaidh no fuasgladh stèidhichte air Linux), cheangail iad seanal IPVPN ris le aon phort agus seanail eadar-lìn leis an fhear eile, chuir iad am frithealaiche VPN air bhog air agus cheangail iad e. luchd-cleachdaidh tron ​​​​gheata VPN aca fhèin. Gu nàdarra, tha an leithid de sgeama cuideachd a 'cruthachadh uallaichean: feumar a leithid de bhun-structair a thogail agus, gu mì-ghoireasach, obrachadh agus leasachadh.

Gus beatha a dhèanamh nas fhasa don luchd-dèiligidh againn, chuir sinn a-steach meadhan VPN meadhanaichte agus chuir sinn taic air dòigh airson ceanglaichean thairis air an eadar-lìn a’ cleachdadh IPSec, is e sin, a-nis chan fheum teachdaichean ach an router aca a rèiteachadh gus obrachadh leis an ionad VPN againn tro thunail IPSec thairis air eadar-lìn poblach sam bith. , agus leigidh sinn a-mach trafaic an neach-dèiligidh seo chun VRF aige.

Cò a bhios a dhìth

  • Dhaibhsan aig a bheil lìonra mòr IPVPN mu thràth agus a dh’ fheumas ceanglaichean ùra ann an ùine ghoirid.
  • Duine sam bith a tha, airson adhbhar air choireigin, ag iarraidh pàirt den trafaic a ghluasad bhon eadar-lìn poblach gu IPVPN, ach a tha air coinneachadh ri crìochan teicnigeach co-cheangailte ri grunn sholaraichean seirbheis roimhe seo.
  • Dhaibhsan aig a bheil grunn lìonraidhean VPN eadar-dhealaichte bho dhiofar ghnìomhaichean cian-chonaltraidh. Tha teachdaichean ann a tha air IPVPN a chuir air dòigh gu soirbheachail bho Beeline, Megafon, Rostelecom, msaa. Gus a dhèanamh nas fhasa, chan urrainn dhut fuireach ach air an aon VPN againn, atharraich a h-uile seanal eile de ghnìomhaichean eile chun eadar-lìn, agus an uairsin ceangal ri Beeline IPVPN tro IPSec agus an eadar-lìn bho na gnìomhaichean sin.
  • Dhaibhsan aig a bheil lìonra IPVPN mu thràth air a chòmhdach air an eadar-lìn.

Ma chleachdas tu a h-uile càil còmhla rinn, an uairsin gheibh teachdaichean taic VPN làn-chuimseach, fìor dhroch obair bun-structair, agus suidheachaidhean àbhaisteach a dh’ obraicheas air router sam bith air a bheil iad cleachdte (biodh e Cisco, eadhon Mikrotik, is e am prìomh rud gun urrainn dha taic cheart a thoirt dha. IPSec/IKEv2 le modhan dearbhaidh àbhaisteach). Co-dhiù, mu IPSec - an-dràsta chan eil sinn a ’toirt taic ach dha, ach tha sinn an dùil gnìomhachd làn-chuimseach an dà chuid OpenVPN agus Wireguard a chuir air bhog, gus nach urrainn do luchd-dèiligidh a bhith an urra ris a’ phròtacal agus tha e eadhon nas fhasa a h-uile càil a ghabhail agus a ghluasad thugainn, agus tha sinn cuideachd airson tòiseachadh air teachdaichean a cheangal bho choimpiutairean agus innealan gluasadach (fuasglaidhean air an togail a-steach don OS, Cisco AnyConnect agus strongSwan agus an leithid). Leis an dòigh-obrach seo, faodar togail de facto a’ bhun-structair a thoirt seachad gu sàbhailte don ghnìomhaiche, a ’fàgail dìreach rèiteachadh an CPE no an aoigh.

Mar a tha am pròiseas ceangail ag obair airson modh IPSec:

  1. Bidh an neach-dèiligidh a’ fàgail iarrtas chun mhanaidsear aige anns am bi e a’ comharrachadh an astar ceangail a tha a dhìth, ìomhaigh trafaic agus paramadairean seòladh IP airson an tunail (gu gnàthach, subnet le masg /30) agus an seòrsa slighe (statach no BGP). Gus slighean a ghluasad gu lìonraidhean ionadail an neach-dèiligidh san oifis ceangailte, thathas a’ cleachdadh na h-innealan IKEv2 aig ìre protocol IPSec a’ cleachdadh nan roghainnean iomchaidh air router an neach-dèiligidh, no tha iad air an sanasachadh tro BGP ann am MPLS bhon BGP AS prìobhaideach a tha air a shònrachadh ann an tagradh an neach-dèiligidh. . Mar sin, tha fiosrachadh mu shlighean lìonraidhean teachdaiche gu tur fo smachd an neach-dèiligidh tro shuidheachaidhean an router teachdaiche.
  2. Mar fhreagairt bhon mhanaidsear aige, gheibh an neach-dèiligidh dàta cunntasachd airson a thoirt a-steach don VRF aige den fhoirm:
    • Seòladh IP VPN-HUB
    • login
    • Facal-faire dearbhaidh
  3. A’ rèiteachadh CPE, gu h-ìosal, mar eisimpleir, dà roghainn rèiteachaidh bunaiteach:

    Roghainn airson Cisco:
    meur-chlàr crypto ikev2 BeelineIPsec_keyring
    co-aoisean Beeline_VPNHub
    seòladh 62.141.99.183 - Ionad VPN Beeline
    pre-shared-key <Facal-faire dearbhaidh>
    !
    Airson an roghainn slighe statach, faodar slighean gu lìonraidhean a gheibhear tron ​​​​ionad Vpn a shònrachadh ann an rèiteachadh IKEv2 agus nochdaidh iad gu fèin-ghluasadach mar shlighean statach ann an clàr slighe CE. Faodar na roghainnean sin a dhèanamh cuideachd a’ cleachdadh an dòigh àbhaisteach airson slighean statach a shuidheachadh (faic gu h-ìosal).

    poileasaidh ùghdarrachaidh crypto ikev2 FlexClient-ùghdar

    Slighe gu lìonraidhean air cùl an router CE - suidheachadh èigneachail airson slighe statach eadar CE agus PE. Bidh gluasad dàta slighe gu PE air a dhèanamh gu fèin-ghluasadach nuair a thèid an tunail a thogail tro eadar-obrachadh IKEv2.

    slighe air a shuidheachadh iomallach ipv4 10.1.1.0 255.255.255.0 - lìonra ionadail oifis
    !
    pròifil crypto ikev2 BeelineIPSec_profile
    dearbh-aithne ionadail <login>
    ro-roinn ionadail dearbhaidh
    ro-roinn dearbhaidh iomallach
    keyring ionadail BeelineIPsec_keyring
    buidheann ùghdarrachaidh aaa liosta psk buidheann-ùghdar-liosta FlexClient-author
    !
    neach-dèiligidh crypto ikev2 flexvpn BeelineIPsec_flex
    co-aoisean 1 Beeline_VPNHub
    ceangal cleachdaiche Tunnel1
    !
    crypto ipsec cruth-atharrachadh TRANSFORM1 esp-aes 256 esp-sha256-hmac
    tunail modh
    !
    pròifil crypto ipsec bunaiteach
    suidhich cruth-atharrachadh-set TRANSFORM1
    suidhich ìomhaigh ikev2 BeelineIPSec_profile
    !
    Tunail eadar-aghaidh1
    seòladh ip 10.20.1.2 255.255.255.252 - seòladh tunail
    stòr tunail GigabitEthernet0/2 - Eadar-aghaidh ruigsinneachd eadar-lìn
    modh tunail ipsec ipv4
    ceann-uidhe tunail fiùghantach
    dìon tunail pròifil ipsec bunaiteach
    !
    Faodar slighean gu lìonraidhean prìobhaideach an neach-dèiligidh a tha ruigsinneach tro inneal-cruinneachaidh Beeline VPN a shuidheachadh gu statach.

    slighe ip 172.16.0.0 255.255.0.0 Tunail 1
    slighe ip 192.168.0.0 255.255.255.0 Tunail 1

    Roghainn airson Huawei (ar160/120):
    ike ainm ionadail <log a-steach>
    #
    acl ainm ipsec 3999
    riaghailt 1 cead stòr ip 10.1.1.0 0.0.0.255 - lìonra ionadail oifis
    #
    AAA
    sgeama seirbheis IPSEC
    slighe seata acl 3999
    #
    moladh ipsec ipsec
    esp dearbhadh-algorithm sha2-256
    esp crioptachadh-algorithm aes-256
    #
    ike moladh bunaiteach
    crioptachadh-algorithm aes-256
    dh buidheann2
    dearbhadh-algorithm sha2-256
    modh dearbhaidh - ro-roinn
    ionracas-algorithm hmac-sha2-256
    prf hmac-sha2-256
    #
    coltach ri co-aoisean ipsec
    pre-shared-key sìmplidh <Facal-faire dearbhaidh>
    ionadail-id-seòrsa fqdn
    seòrsa ip iomallach-id
    seòladh iomallach 62.141.99.183 - Ionad VPN Beeline
    sgeama seirbheis IPSEC
    iarrtas config-iomlaid
    gabh ri seata config-exchange
    config-exchange seata cuir
    #
    pròifil ipsec ipsecprof
    ike-peer ipsec
    moladh ipsec
    #
    eadar-aghaidh Tunail 0/0/0
    seòladh ip 10.20.1.2 255.255.255.252 - seòladh tunail
    tunail-pròtacal ipsec
    stòr GigabitEthernet0/0/1 - Eadar-aghaidh ruigsinneachd eadar-lìn
    pròifil ipsec ipsecprof
    #
    Faodar slighean gu lìonraidhean prìobhaideach an neach-dèiligidh a tha ruigsinneach tro inneal-cruinneachaidh Beeline VPN a shuidheachadh gu statach

    slighe ip-statach 192.168.0.0 255.255.255.0 Tunail0/0/0
    slighe ip-statach 172.16.0.0 255.255.0.0 Tunail0/0/0

Tha an diagram conaltraidh a thig às a’ coimhead rudeigin mar seo:

Mar a gheibh thu gu IPVPN Beeline tro IPSec. Pàirt 1

Mura h-eil eisimpleirean aig an neach-dèiligidh den rèiteachadh bunaiteach, mar as trice bidh sinn a’ cuideachadh le bhith gan cruthachadh agus gan dèanamh rim faighinn don h-uile duine eile.

Chan eil air fhàgail ach an CPE a cheangal ris an eadar-lìn, ping ris a’ phàirt freagairt den tunail VPN agus aoigheachd sam bith taobh a-staigh an VPN, agus sin agad e, is urrainn dhuinn gabhail ris gun deach an ceangal a dhèanamh.

Anns an ath artaigil innsidh sinn dhut mar a chuir sinn an sgeama seo còmhla ri IPSec agus MultiSIM Iomarcachd a’ cleachdadh Huawei CPE: bidh sinn a ’stàladh ar Huawei CPE airson teachdaichean, a dh’ fhaodas chan e a-mhàin seanal eadar-lìn le sreang a chleachdadh, ach cuideachd 2 chairt SIM eadar-dhealaichte, agus an CPE ag ath-thogail gu fèin-ghluasadach tunail IPSec an dàrna cuid tro WAN uèirleas no tro rèidio (LTE # 1 / LTE # 2), a’ toirt a-mach fulangas àrd locht air an t-seirbheis a thig às.

Taing shònraichte dha ar co-obraichean RnD airson an artaigil seo ullachadh (agus, gu dearbh, dha ùghdaran nam fuasglaidhean teicnigeach sin)!

Source: www.habr.com

Cuir beachd ann