ProHoster > Blog > Administrasyon an > Ki jan yo ale nan Beeline IPVPN atravè IPSec. Pati 1

Ki jan yo ale nan Beeline IPVPN atravè IPSec. Pati 1

Bonjou! NAN pòs anvan Mwen te dekri travay sèvis MultiSIM nou an an pati rezèvasyon и balanse chanèl. Kòm mansyone, nou konekte kliyan nan rezo a atravè VPN, e jodi a mwen pral di w yon ti kras plis sou VPN ak kapasite nou yo nan pati sa a.

Li vo kòmanse ak lefèt ke nou, kòm yon operatè telecom, gen pwòp rezo MPLS gwo nou an, ki pou kliyan liy fiks yo divize an de segman prensipal - youn nan ki itilize dirèkteman pou jwenn aksè nan Entènèt la, ak youn nan ki se. itilize pou kreye rezo izole - epi se atravè segman MPLS sa a ke trafik IPVPN (L3 OSI) ak VPLAN (L2 OSI) ap koule pou kliyan antrepriz nou yo.

Ki jan yo ale nan Beeline IPVPN atravè IPSec. Pati 1
Tipikman, yon koneksyon kliyan rive jan sa a.

Yo mete yon liy aksè nan biwo kliyan an soti nan Pwen Prezans ki pi pre rezo a (nòd MEN, RRL, BSSS, FTTB, elatriye) epi pi lwen, kanal la anrejistre atravè rezo transpò a nan PE-MPLS ki koresponn lan. routeur, sou ki nou soti li nan yon espesyalman kreye pou kliyan an VRF, pran an kont pwofil la trafik ke kliyan an bezwen (etikèt pwofil yo chwazi pou chak pò aksè, ki baze sou valè yo priyorite IP 0,1,3,5, XNUMX).

Si pou kèk rezon nou pa ka konplètman òganize dènye kilomèt la pou kliyan an, pou egzanp, biwo kliyan an sitiye nan yon sant biznis, kote yon lòt founisè se yon priyorite, oswa nou tou senpleman pa gen pwen prezans nou tou pre, Lè sa a, deja kliyan te oblije kreye plizyè rezo IPVPN nan diferan founisè (pa achitekti ki pi pri-efikas) oswa poukont rezoud pwoblèm ak òganize aksè a VRF ou sou entènèt la.

Anpil moun te fè sa lè yo enstale yon pòtay Entènèt IPVPN - yo te enstale yon routeur fwontyè (pyès ki nan konpitè oswa kèk solisyon ki baze sou Linux), yo te konekte yon chanèl IPVPN a li ak yon sèl pò ak yon chanèl Entènèt ak lòt la, yo te lanse sèvè VPN yo sou li epi yo te konekte. itilizatè yo atravè pwòp pòtay VPN yo. Natirèlman, yon konplo konsa tou kreye chay: enfrastrikti sa yo dwe bati epi, pi enkonvenyan, opere ak devlope.

Pou rann lavi pi fasil pou kliyan nou yo, nou enstale yon sant VPN santralize ak sipò òganize pou koneksyon sou Entènèt la lè l sèvi avèk IPSec, se sa ki, kounye a kliyan sèlman bezwen konfigirasyon routeur yo pou travay avèk mwaye VPN nou an atravè yon tinèl IPSec sou nenpòt entènèt piblik. , epi nou Ann lage trafik kliyan sa a nan VRF li yo.

Ki moun ki pral jwenn li itil?

  • Pou moun ki deja gen yon gwo rezo IPVPN epi ki bezwen nouvo koneksyon nan yon ti tan.
  • Nenpòt moun ki, pou kèk rezon, vle transfere yon pati nan trafik la soti nan Entènèt piblik la nan IPVPN, men li te deja rankontre limit teknik ki asosye ak plizyè founisè sèvis.
  • Pou moun ki kounye a gen plizyè rezo VPN diferan atravè operatè telecom diferan. Gen kliyan ki te òganize avèk siksè IPVPN soti nan Beeline, Megafon, Rostelecom, elatriye. Pou fè li pi fasil, ou ka rete sèlman sou yon sèl VPN nou an, chanje tout lòt chanèl lòt operatè yo sou entènèt la, epi konekte ak Beeline IPVPN atravè IPSec ak entènèt la nan operatè sa yo.
  • Pou moun ki deja gen yon rezo IPVPN kouvri sou entènèt la.

Si ou deplwaye tout bagay avèk nou, Lè sa a, kliyan yo resevwa sipò vpn plen véritable, redondance enfrastrikti grav, ak paramèt estanda ki pral travay sou nenpòt routeur yo te konn abitye (ke se Cisco, menm Mikrotik, bagay prensipal la se ke li ka byen sipòte. IPSec/IKEv2 ak metòd otantifikasyon estanda). By wout la, sou IPSec - kounye a nou sèlman sipòte li, men nou planifye lanse operasyon konplè nan tou de OpenVPN ak Wireguard, se konsa ke kliyan pa ka depann sou pwotokòl la epi li menm pi fasil yo pran ak transfere tout bagay nan nou, epi nou vle tou kòmanse konekte kliyan soti nan òdinatè ak aparèy mobil (solisyon bati nan eksplwatasyon an, Cisco AnyConnect ak strongSwan ak renmen an). Avèk apwòch sa a, konstriksyon defakto nan enfrastrikti a ka san danje remèt bay operatè a, kite sèlman konfigirasyon CPE a oswa lame a.

Ki jan pwosesis koneksyon an travay pou mòd IPSec:

  1. Kliyan an kite yon demann bay manadjè li a kote li endike vitès koneksyon ki nesesè yo, pwofil trafik ak paramèt adrès IP pou tinèl la (pa default, yon sous-rezo ak yon mask / 30) ak kalite routage (estatik oswa BGP). Pou transfere wout nan rezo lokal kliyan an nan biwo ki konekte a, yo itilize mekanis IKEv2 nan faz pwotokòl IPSec yo lè l sèvi avèk paramèt ki apwopriye yo sou routeur kliyan an, oswa yo pibliye yo atravè BGP nan MPLS soti nan BGP prive AS espesifye nan aplikasyon kliyan an. . Kidonk, enfòmasyon sou wout rezo kliyan an konplètman kontwole pa kliyan an atravè anviwònman routeur kliyan an.
  2. Kòm repons nan men manadjè li a, kliyan an resevwa done kontablite pou enkli nan fòm VRF li a:
    • Adrès IP VPN-HUB
    • Login
    • Modpas otantifikasyon
  3. Konfigirasyon CPE, anba a, pou egzanp, de opsyon konfigirasyon debaz:

    Opsyon pou Cisco:
    Crypto ikev2 keyring BeelineIPsec_keyring
    kanmarad Beeline_VPNHub
    adrès 62.141.99.183 –VPN mwaye Beeline
    pre-shared-key <Modpas Otantifikasyon>
    !
    Pou opsyon routage estatik la, yo ka espesifye wout ki mennen nan rezo aksesib atravè Vpn-hub nan konfigirasyon IKEv2 a epi yo pral otomatikman parèt kòm wout estatik nan tablo routage CE a. Anviwònman sa yo ka fèt tou lè l sèvi avèk metòd estanda pou mete wout estatik (gade anba a).

    kriptografik ikev2 otorizasyon politik FlexClient-author

    Wout nan rezo dèyè routeur CE a - yon anviwònman obligatwa pou routage estatik ant CE ak PE. Transfè a nan done wout nan PE a te pote soti otomatikman lè tinèl la leve soti vivan nan entèraksyon IKEv2.

    route set remote ipv4 10.1.1.0 255.255.255.0 -Rezo lokal biwo
    !
    crypto ikev2 pwofil BeelineIPSec_profile
    idantite lokal <login>
    otantifikasyon lokal pre-pataje
    otantifikasyon aleka pre-pataje
    keyring lokal BeelineIPsec_keyring
    aaa otorizasyon gwoup psk lis gwoup-otè-lis FlexClient-otè
    !
    crypto ikev2 kliyan flexvpn BeelineIPsec_flex
    kanmarad 1 Beeline_VPNHub
    kliyan konekte Tunnel1
    !
    crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
    mòd tinèl
    !
    kripto ipsec pwofil default
    mete transfòme-set TRANSFORM1
    mete ikev2-profile BeelineIPSec_profile
    !
    koòdone Tunnel1
    adrès IP 10.20.1.2 255.255.255.252 – Adrès tinèl
    tinèl sous GigabitEthernet0/2 – Koòdone aksè entènèt
    mòd tinèl ipsec ipv4
    tinèl destinasyon dinamik
    pwoteksyon tinèl ipsec pwofil default
    !
    Wout nan rezo prive kliyan an aksesib atravè konsantratè Beeline VPN a ka mete statik.

    IP wout 172.16.0.0 255.255.0.0 Tunnel1
    IP wout 192.168.0.0 255.255.255.0 Tunnel1

    Opsyon pou Huawei (ar160/120):
    tankou non lokal <login>
    #
    non akl ipsec 3999
    règ 1 pèmèt ip sous 10.1.1.0 0.0.0.255 -Rezo lokal biwo
    #
    AAA
    plan sèvis IPSEC
    route set acl 3999
    #
    ipsec pwopozisyon ipsec
    esp otantifikasyon-algorithm sha2-256
    esp cryptage-algorithm aes-256
    #
    ike pwopozisyon default
    chifreman-algorithm aes-256
    dh gwoup 2
    otantifikasyon-algorithm sha2-256
    otantifikasyon-metòd pre-pataje
    entegrite-algorithm hmac-sha2-256
    prf hmac-sha2-256
    #
    ike peer ipsec
    pre-pataje-kle senp <Modpas Otantifikasyon>
    lokal-id-type fqdn
    remote-id-type ip
    adrès-remote 62.141.99.183 –VPN mwaye Beeline
    plan sèvis IPSEC
    demann echanj konfigirasyon
    konfig-echanj ansanm aksepte
    konfig-echanj mete voye
    #
    ipsec pwofil ipsecprof
    ike-peer ipsec
    pwopozisyon ipsec
    #
    koòdone Tinèl0/0/0
    adrès IP 10.20.1.2 255.255.255.252 – Adrès tinèl
    tinèl-pwotokòl ipsec
    sous GigabitEthernet0/0/1 – Koòdone aksè entènèt
    ipsec pwofil ipsecprof
    #
    Wout ki mennen nan rezo prive kliyan an aksesib atravè konsantratè Beeline VPN la ka mete statik

    ip wout-estatik 192.168.0.0 255.255.255.0 Tunnel0/0/0
    ip wout-estatik 172.16.0.0 255.255.0.0 Tunnel0/0/0

Dyagram nan kominikasyon ki kapab lakòz sanble yon bagay tankou sa a:

Ki jan yo ale nan Beeline IPVPN atravè IPSec. Pati 1

Si kliyan an pa gen kèk egzanp nan konfigirasyon debaz la, Lè sa a, anjeneral nou ede ak fòmasyon yo epi fè yo disponib pou tout lòt moun.

Tout sa ki rete se konekte CPE a sou Entènèt la, ping nan pati repons lan nan tinèl VPN la ak nenpòt ki lame andedan VPN a, e se li, nou ka asime ke koneksyon an te fèt.

Nan pwochen atik la nou pral di w kouman nou konbine konplo sa a ak IPSec ak Redundancy MultiSIM lè l sèvi avèk Huawei CPE: nou enstale Huawei CPE nou an pou kliyan, ki ka itilize pa sèlman yon kanal entènèt filaire, men tou, 2 kat SIM diferan, ak CPE la. otomatikman rebati IPSec- tinèl swa atravè WAN filaire oswa atravè radyo (LTE#1/LTE#2), reyalize gwo tolerans fay nan sèvis la ki kapab lakòz.

Mèsi espesyal ak kòlèg RnD nou yo pou prepare atik sa a (e, an reyalite, otè yo nan solisyon teknik sa yo)!

Sous: www.habr.com

Add nouvo kòmantè